Select Language : English 日本語
Global Site : NTT Ltd.

WannaCryの感染経路とは。確認方法や対策方法のまとめ

PCに入り込むと自動的に広がっていくWannaCryは、どのような感染経路で広がっていくのでしょうか?WannaCryの仕組みとPCへの侵入の仕方を解説します。

従来のPPPoE方式に比べて大容量で、通信が混雑することなくスムーズに行われ、快適で安定した接続環境のため、法人向け回線としても大きなメリットがあります。IPoEは、いったいどのようなサービスなのか、詳しくご紹介します。

【IPoE接続とPPPoE接続】改善とヒント
Case Studies
◆Case1:サービス業 ◆Case2:製造業
◆Case3:建築業 ◆Case4:小売業

PDF 資料ダウンロード ※アンケートに回答いただくとダウンロードボタンが現れます。

ネットワークセキュリティ環境について、ご意見お聞かせください。

Q1:セキュリティ対策の導入について

Q2:自社のセキュリティ対策について

Q3:今回の訪問の目的は何ですか

WannaCryの感染経路

PCに入り込むと自動的に広がっていくWannaCryは、どのような感染経路で広がっていくのでしょうか?WannaCryの仕組みとPCへの侵入の仕方を解説します。

2つのマルウェアで構成されるWannaCry

WannaCryが特徴的なのは、別々の働きを持つ2つのマルウェアでできている、ということです。 1つ目は、ワームとして機能する部分で、WindowsのMS17-010の脆弱性を利用してPCに侵入します。2つ目は、PCに入り込んでから自動的に展開されるランサムウェアの部分です。 ランサムウェア部分には、動作に必要な部品を集めたファイルが格納されています。入り込んだPC内で展開し、データの暗号化解除のために身代金を要求する、ランサムウェアとして機能するのです。

アクションのいらないワーム型感染

WannaCryの被害が拡大した理由の1つに、ユーザーが何もしなくてもWannaCryが展開・感染される、ということがあります。 これまでのランサムウェアの感染は『メールの添付ファイルを開く』『不正なWebサイトに誘導される』など、何らかのアクションをした上で起きるものでした。 しかし、WannaCryは、ユーザーが何もしなくても感染するワームの機能を持っています。まるで意思のある生物のように、ネットワーク上を移動し、自動的に感染を広げていくのです。

SMBv1を狙った攻撃

WannaCryがデータを暗号化するときに攻撃するのは、SMBv1という部分です。この場所では、ファイル共有やプリンタ共有の決まりを規定しています。 脆弱性を狙うEternalBlueというマシンコードで攻撃します。SMBv1でバッファオーバーフローが起こるよう、メモリ領域をオーバーさせ、PC上のデータを書き換えるのです。

感染するとどうなる?

PCに入り込んだWannaCryは、どのような症状を引き起こすのでしょうか?データへの被害や、それによって業務にどのような支障が出るかなどを、解説します。

WannaCryの症状を知ろう

引き起こされるのは、データの暗号化です。データの末尾に『a.jpg.WNCRY』という文字列を追加し、見られない状態にします。 また、業務に使っているソフトウェアは、サービスが停止されて使用不可能に陥るのです。そのため、ソフトウェアの重要度によっては、業務が完全にストップしてしまうこともあるでしょう。 特徴的なのは、デスクトップに表示されるメッセージです。感染したことや、暗号化解除のための条件が表示されます。ランサムウェアなので、身代金の支払いが解除条件です。

自社PCを確認してみよう

入り込んでいるかどうか心配な場合には、PCのチェックをします。ただし、チェックする場所にはポイントがあります。ポイントを押さえて感染の有無を確認しましょう。

組織内での感染確認方法

感染の記録が残るのは、DNSサーバーのクエリログやファイアウォールのログです。DNSサーバーには、WannaCry関連のドメイン名が記録されている可能性があります。 自動的に感染拡大するときに使用する445/tcpポートにも、記録が残っているかもしれません。他のPCへの侵入は、自動生成したIPアドレスで実行しようとします。そのため、ランダムなIPアドレスからの接続が記録されている可能性があるのです。 イベントログやセキュリティログからも、侵入の有無をチェックできます。PCに入り込んだ後、サービスのインストールがされた記録や、プログラム実行の記録が残っているケースがあるのです。 WindowsOSの動作を、イベントログに記録する『Sysmon』というツールを導入していたら、ログに履歴が残る可能性があるので確認しましょう。

感染の追跡と特定

感染の有無だけでなく、追跡することも大切です。自動感染で社内・社外を問わず広がっていく性質があるWannaCryは、感染元を特定して隔離しなければいけないからです。 このとき通信ログをチェックして記録を探します。ウイルス対策ソフトやファイアウォールのログに通信記録が残っている可能性があるのです。 セキュリティ対策のためのEDR製品があれば、PCをスキャンし、侵入している機器の特定もできます。すみやかに機器を特定し、隔離しましょう。

WannaCryの対策方法

危険性の大きなマルウェアですが、正しく対策していれば脆弱性を狙われることはありません。具体的にどのような対策方法があるのか解説します。

セキュリティパッチの適用

脆弱性を狙って入り込むWannaCryですが、狙う部分は決まっています。Microsoft社が公表している『MS17-010』の部分です。すでにセキュリティパッチも出ていますので、それを適用するのが1番にできる対策といえます。 そのため、定期的なWindows Updateをしていれば、入り込まれることはまずありません。 アップデートの対象外になっているPCやルーターも感染する可能性があります。これらの機器の場合には、セキュリティパッチをダウンロードして適用しましょう。

ファイアウォールでポート445を閉じる

一時的な対策として、ファイアウォールでポート445を閉じるのも有効です。攻撃を遮断し感染を予防できます。 ただし、ポート445を閉じると、ネットワークのさまざまなサービスが使えなくなるので、あくまでも一時的な対策として使う、という点に注意しましょう。

まとめ

ワームとランサムウェアで構成されるWannaCryは、自動的に感染を拡大していきます。対策するには、感染経路を知ることが大切です。 侵入が心配な場合には、ログをチェックしてみましょう。事前にセキュリティパッチを適用しておくのも有効な対策です。 特徴と感染の仕方について知り、危険を回避しましょう。

紹介動画

企業を狙うサイバー攻撃は巧妙化。セキュリティソフトを入れておけば安心という時代は終わり、多層防御によるセキュリティ対策が急務です。多層防御とは?ポイントを含めご紹介します。

セキュリティ対策を怠ったために、取引先にまで、マルウェアを感染させてしまったら・・・。ほぼすべての中堅・中小企業がサイバー攻撃を受けていると言われています。専門ベンダへのアウトソース、インシデント時の緊急体制の整備、サイバー保険。セキュリティに関する業務を一人で抱え込まないためのポイントをご紹介します。

「法人向けOCNサービスとは」関連情報

新サービス! OCN光 IPoEサービス

OCN光 IPoEサービス 標準プラン

従来サービスから2倍の帯域設計!
動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離
快適なインターネット利用環境を実現

  • 法人向け設計

  • 従来サービスから2倍の帯域設計!

  • 固定IPアドレス利用可能

OCN光 IPoEサービス ワイドプラン

標準プランから3倍の帯域設計(従来サービスの6倍)
Windows Updateによる通信を
そのほかの業務用の通信から分離。
安定した通信が可能

  • 標準プランから3倍の帯域設計

  • Windows Updateによる通信をそのほかの業務用の通信から分離

OCN光 IPoE vUTMセット

IPoEインターネット接続とクラウド化されたUTMをセットで提供。アップデートや保守はNTT Comが行うため、常に最新のセキュリティ対策を実現。
クラウド利用時のセキュリティ対策にも最適

  • インターネット接続とセキュリティ対策 セットで提供

  • 専門スキルを有する人材不要

  • 常に最新のセキュリティ対策を実現

通信事業者向けローミングサービス

OCNバーチャルコネクトサービス(IPoE接続)

NTT東日本・西日本が提供するIPoEに対応した「フレッツ 光ネクスト」ならびに光コラボレーション回線を、事業者さまの独自ブランドでIPoE方式のインターネット接続サービスが提供できます。

ご検討中のお客さま

ご検討にあたり、ご不明点などはお電話もしくは、お問い合わせフォームで承ります。お気軽にお問い合わせください。

お電話によるお問い合わせ

0120-003300

受付時間:9:00~17:00
(土・日・祝日・年末年始を除く)

このページのトップへ