身代金要求型ウィルス、ランサムウェアの「WannaCry」の全貌

ICT・情報セキュリティー
  • WannaCryが猛威を奮った状況

2017年5月13日、突如として世界中のWindowsマシンが「WannaCry」というランサムウェアにより停止するという事件が世界中で発生しました。ランサムウェアとは、Ramsom(身代金)とSoftware(ソフトウェア)をかけあわせた造語で、システムを強制的に使用停止にして、それを解除する代わりに身代金を要求するという、昔からあるハッキングの手口です。

WannaCryによる攻撃は大規模に行われ、イギリス、ロシア、スペイン、ドイツ、フランス、ポルトガル、アメリカ、台湾、チリ、インド、そして日本での被害が確認されています。世界中で猛威を奮ったウィルスでもあるのです。

  • WannaCryが世界中に広がったわけ

メールの添付ファイルを不用意にクリックしたり、危険なWebサイトを閲覧するなどの条件下で、WannaCryは世界中に広まりました。実は、WannaCryは意図的にばら撒かれた、というよりは自然発生的に広まった、というタイプのランサムウェアです。パソコンに脆弱性がある場合に、添付ファイルをダブルクリックしたり、危険なWebサイトを閲覧すると、プログラムが起動しWannaCryに感染します。

それらのプログラムは、サーバーに接続し、不正なプログラムの入ったファイルを勝手にダウンロードし始めます。そしてそれらが実行され、脆弱性をついてより感染を拡大し、不正ファイルを使ってコンピュータを乗っ取ります。脅迫状が表示され、コンピュータ上のファイルが暗号化されてしまい使用不可になるのです。

WannaCryが身代金として要求するのは、ビットコイン。仮想通貨で、300ドルというものです。ビットコインは1BTCあたり22万~30万円ほどしますが、ドルで表示されたため1社あたり3万円ほどの被害で済んだ状況です。支払いがビットコインだったため、WannaCryがこれだけ大規模にハッキングしたのにも関わらず、集まった身代金の総額は2万6000ドル、約300万円程度だったと試算されています。これは、脆弱性を持ったパソコンをそのまま使ったり、添付ファイルを不用意にクリックしてしまったりするような企業が、ビットコインという仮想空間の通貨を扱えるほど最先端ではなかった、ということでしょう。決して被害にあった会社のリテラシーが高く、身代金要求にあえて応えなかった、とういわけではありません。大多数の企業は、あわてふためき、非常に困ったはずです。

  • WannaCryの悪質さ

WannaCryは、人間心理をついた非常に悪質なソフトウェアです。

感染するとカウントダウンが表示され、ファイル削除のカウントダウンがはじまります。そして、カウントがゼロになると身代金が倍になるというメッセージが表示されます。言語は28カ国に対応しており、手広く稼ごうとするために作られたウィルスだということがわかります。壁紙もファイルもすべて更新されてしまい、さらにはメッセージをなんとか消せたとしても完全には消去されず、何度も表示されます。

  • WannaCryは誰をターゲットにしたランサムウェア?

WannaCryに感染したのは、主にWindows XPという古いバージョンのオペレーティング・システム(OS)を使っていた人たち、そして企業です。Windows XPは、2001年にマイクロソフトが発表したOSであり、かなり前のバージョンです。サポートがすでに切れているので、セキュリティ修正パッチも提供されていませんでした。

本来であれば、サポートの切れたOSは使うべきではありませんが、最新のOSにする手間と費用を惜しんで、古いWindows XPを使い続けた組織が、WannaCryの餌食になったのです。これだけ世界的に大規模な被害が出たことで、まだまだ古いWindows OSを使い続けている人が多いことが明らかになり、マイクロソフトは緊急にセキュリティ修正パッチを配布しました。

  • WannaCryの原理

WannaCryは、Windowsのネットワークにおけるファイルを共有するための「SMB」というプロトコルを介して感染が拡大します。SMBは一般的なプロトコルで、古いOSに搭載されたSMBのバージョンには脆弱性が存在していましたが、マイクロソフトにより修正されていませんでした。アメリカの国家安全保障局では、SMBの脆弱性について把握していたのですが、ハッカーがそうした情報を入手し、悪用したものだと考えられています。また、TCPの445番というポートも、使用されています。これはWannaCryの被害が大規模になった前の日から、徐々に通信量が伸びていることも報告されています。

  • WannaCryのハッカーはまだ特定されていない

2017年7月現在、WannCryの攻撃を行ったハッカーは特定されていません。非常に巧妙に作られたランサムウェアなので、かなりの技術力を持ったハッカーが攻撃を行ったと考えられています。

ただし、身代金要求がビットコインであったことから、犯人が集めたビットコインを出金する、オンライン上で買い物する、使う、などの行為をしたときに、特定できる可能性が強まっています。決済すれば出荷情報が流れるため、そこから身元を特定できる可能性がある、というものです。今のところ使われた形跡はなく、被害の割に大金は集まらなかったのですが、非常に大規模な攻撃だったと言えるでしょう。