
WannaCryの感染経路とは。確認方法や対策方法のまとめ
PCに入り込むと自動的に広がっていくWannaCryは、どのような感染経路で広がっていくのでしょうか?WannaCryの仕組みとPCへの侵入の仕方を解説します。
この記事の目次
- ・ WannaCryの感染経路
- ・ 感染するとどうなる?
- ・ 自社PCを確認してみよう
- ・ WannaCryの対策方法
- ・ まとめ
従来のPPPoE方式に比べて大容量で、通信が混雑することなくスムーズに行われ、快適で安定した接続環境のため、法人向け回線としても大きなメリットがあります。IPoEは、いったいどのようなサービスなのか、詳しくご紹介します。

【IPoE接続とPPPoE接続】改善とヒント
Case Studies
◆Case1:サービス業 ◆Case2:製造業
◆Case3:建築業 ◆Case4:小売業
ネットワークセキュリティ環境について、ご意見お聞かせください。
Q1:セキュリティ対策の導入について
Q2:自社のセキュリティ対策について
Q3:今回の訪問の目的は何ですか
WannaCryの感染経路
PCに入り込むと自動的に広がっていくWannaCryは、どのような感染経路で広がっていくのでしょうか?WannaCryの仕組みとPCへの侵入の仕方を解説します。

2つのマルウェアで構成されるWannaCry
WannaCryが特徴的なのは、別々の働きを持つ2つのマルウェアでできている、ということです。 1つ目は、ワームとして機能する部分で、WindowsのMS17-010の脆弱性を利用してPCに侵入します。2つ目は、PCに入り込んでから自動的に展開されるランサムウェアの部分です。 ランサムウェア部分には、動作に必要な部品を集めたファイルが格納されています。入り込んだPC内で展開し、データの暗号化解除のために身代金を要求する、ランサムウェアとして機能するのです。
アクションのいらないワーム型感染
WannaCryの被害が拡大した理由の1つに、ユーザーが何もしなくてもWannaCryが展開・感染される、ということがあります。 これまでのランサムウェアの感染は『メールの添付ファイルを開く』『不正なWebサイトに誘導される』など、何らかのアクションをした上で起きるものでした。 しかし、WannaCryは、ユーザーが何もしなくても感染するワームの機能を持っています。まるで意思のある生物のように、ネットワーク上を移動し、自動的に感染を広げていくのです。
SMBv1を狙った攻撃
WannaCryがデータを暗号化するときに攻撃するのは、SMBv1という部分です。この場所では、ファイル共有やプリンタ共有の決まりを規定しています。 脆弱性を狙うEternalBlueというマシンコードで攻撃します。SMBv1でバッファオーバーフローが起こるよう、メモリ領域をオーバーさせ、PC上のデータを書き換えるのです。
感染するとどうなる?
PCに入り込んだWannaCryは、どのような症状を引き起こすのでしょうか?データへの被害や、それによって業務にどのような支障が出るかなどを、解説します。

WannaCryの症状を知ろう
引き起こされるのは、データの暗号化です。データの末尾に『a.jpg.WNCRY』という文字列を追加し、見られない状態にします。 また、業務に使っているソフトウェアは、サービスが停止されて使用不可能に陥るのです。そのため、ソフトウェアの重要度によっては、業務が完全にストップしてしまうこともあるでしょう。 特徴的なのは、デスクトップに表示されるメッセージです。感染したことや、暗号化解除のための条件が表示されます。ランサムウェアなので、身代金の支払いが解除条件です。
自社PCを確認してみよう
入り込んでいるかどうか心配な場合には、PCのチェックをします。ただし、チェックする場所にはポイントがあります。ポイントを押さえて感染の有無を確認しましょう。

組織内での感染確認方法
感染の記録が残るのは、DNSサーバーのクエリログやファイアウォールのログです。DNSサーバーには、WannaCry関連のドメイン名が記録されている可能性があります。 自動的に感染拡大するときに使用する445/tcpポートにも、記録が残っているかもしれません。他のPCへの侵入は、自動生成したIPアドレスで実行しようとします。そのため、ランダムなIPアドレスからの接続が記録されている可能性があるのです。 イベントログやセキュリティログからも、侵入の有無をチェックできます。PCに入り込んだ後、サービスのインストールがされた記録や、プログラム実行の記録が残っているケースがあるのです。 WindowsOSの動作を、イベントログに記録する『Sysmon』というツールを導入していたら、ログに履歴が残る可能性があるので確認しましょう。
感染の追跡と特定
感染の有無だけでなく、追跡することも大切です。自動感染で社内・社外を問わず広がっていく性質があるWannaCryは、感染元を特定して隔離しなければいけないからです。 このとき通信ログをチェックして記録を探します。ウイルス対策ソフトやファイアウォールのログに通信記録が残っている可能性があるのです。 セキュリティ対策のためのEDR製品があれば、PCをスキャンし、侵入している機器の特定もできます。すみやかに機器を特定し、隔離しましょう。
WannaCryの対策方法
危険性の大きなマルウェアですが、正しく対策していれば脆弱性を狙われることはありません。具体的にどのような対策方法があるのか解説します。

セキュリティパッチの適用
脆弱性を狙って入り込むWannaCryですが、狙う部分は決まっています。Microsoft社が公表している『MS17-010』の部分です。すでにセキュリティパッチも出ていますので、それを適用するのが1番にできる対策といえます。 そのため、定期的なWindows Updateをしていれば、入り込まれることはまずありません。 アップデートの対象外になっているPCやルーターも感染する可能性があります。これらの機器の場合には、セキュリティパッチをダウンロードして適用しましょう。
ファイアウォールでポート445を閉じる
一時的な対策として、ファイアウォールでポート445を閉じるのも有効です。攻撃を遮断し感染を予防できます。 ただし、ポート445を閉じると、ネットワークのさまざまなサービスが使えなくなるので、あくまでも一時的な対策として使う、という点に注意しましょう。
まとめ
ワームとランサムウェアで構成されるWannaCryは、自動的に感染を拡大していきます。対策するには、感染経路を知ることが大切です。 侵入が心配な場合には、ログをチェックしてみましょう。事前にセキュリティパッチを適用しておくのも有効な対策です。 特徴と感染の仕方について知り、危険を回避しましょう。
紹介動画
忍び寄るサイバー攻撃 ハッカー集団にあなたは対抗できますか?
企業を狙うサイバー攻撃は巧妙化。セキュリティソフトを入れておけば安心という時代は終わり、多層防御によるセキュリティ対策が急務です。多層防御とは?ポイントを含めご紹介します。
多様化するサイバー攻撃。セキュリティソフトを入れておけば安心ですか?
セキュリティ対策を怠ったために、取引先にまで、マルウェアを感染させてしまったら・・・。ほぼすべての中堅・中小企業がサイバー攻撃を受けていると言われています。専門ベンダへのアウトソース、インシデント時の緊急体制の整備、サイバー保険。セキュリティに関する業務を一人で抱え込まないためのポイントをご紹介します。
「法人向けOCNサービスとは」関連情報
オンライン会議もサクサク! OCN光 IPoEサービス
企業向けベストプランワイドプラン
標準プランから3倍の収容設計(従来サービスの6倍)。Windows Updateによる通信をその他の業務用通信から分離し、つねに安定した通信が利用可能です。
-
標準プランから3倍の収容設計
-
Windows Updateによる通信をその他の業務用通信から分離
オンライン会議に最適アプリコントロールA
Windows Updateのトラフィックを分離するワイドプランに、オンライン会議用の独立した帯域をプラス。収容設計もワイドプランの6倍。ストレスフリーなコミュニケーション環境を実現します。
-
ワイドプランから6倍の収容設計
-
オンライン会議用、Windows Update用、一般業務用で帯域を分離
標準プラン
従来サービスから2倍の収容設計。動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離し、快適なインターネット接続環境を実現します。
-
法人向け設計
-
従来サービスから2倍の収容設計
-
固定IPアドレス利用可能
VPNセット
高品質なOCN IPoEインターネット接続と拠点間VPN機能、専用レンタルルーターをセットで提供。IPsecによる暗号化技術により、インターネットVPNによる高品質な拠点間通信を実現します。
-
IPoEインターネット接続と拠点間VPN機能、専用レンタルルーターをセットで提供
-
IPsecによる暗号化技術でセキュアな拠点間通信を実現
vUTMセット
IPoEインターネット接続とクラウド化されたUTMをセットで提供。運用保守をNTT Comが行うため、つねに最新のセキュリティ対策を実現します。クラウド利用時のセキュリティ対策にも最適です。
-
インターネット接続とセキュリティ対策をセットで提供
-
専門スキルを有する人材不要
-
つねに最新のセキュリティ対策を実現
ご検討にあたり、ご不明点などはお電話もしくは、お問い合わせフォームで承ります。お気軽にお問い合わせください。
お電話によるお問い合わせ
0120-003300
受付時間:9:00~17:00
(土・日・祝日・年末年始を除く)