ランサムウェアWannaCryとは？ 仕組み、対策と感染確認方法、日本の被害事例

パッチ適用が難しい環境やオフライン環境においても、端末の防御を強化するには？

マルウェアの一種ランサムウェア「WannaCry」とは

WannaCry（ワナクライ）とは、MS17-010の脆弱性（通称、EternalBlue）を悪用したランサムウェアです。自己増殖機能を用いて世界中の脆弱な端末に感染しました。WannaCryは数あるランサムウェアの1つに過ぎませんが、その感染手法の特異性によって、ゼロデイ攻撃の脅威やレガシー環境がいかに脆弱かを印象付けたことから、以降のセキュリティ対策の取組みにおける一つのターニングポイントであったと言えます。

ランサムウェアは端末内のデータを暗号化し、ユーザによるアクセスを不可能にしたうえで、データの復元と引き換えに身代金を要求するマルウェアの一種です。

ランサムウェアの種類は数多くあり、今も事例として取り上げられることの多いCryptoWall、TeslaCrypt、Lockyもランサムウェアの一つであり、過去に大きな話題となりました。これらのマルウェアが勢いを失いつつあった2017年ごろ、新たに出現したランサムウェアがWannaCryです。

WannaCryの身代金要求の仕組み

身代金要求の流れについては他ランサムウェアと大きく変わりません。WannaCryは端末に感染すると、端末内のアクセス可能なデータに対して暗号化を行います。暗号化後は、パソコンの壁紙が真っ暗になり「ファイル暗号化が完了し、復号するためには仮想通貨を用いて支払いが必要」などのメッセージが表示されます。要求金額は時間経過とともに高くなり、一定時間が過ぎると復号が不可能になります。

なお、WannaCryの動作についてはデモ動画が広く公開されており、感染の様子が確認できます[1]。

WannaCryの主な感染経路

多くのマルウェアは、メールに検体を添付する手法での感染が散見されますが、WannaCryにおいてはメールを感染経路として利用したケースが確認されていません。

WannaCryはEternalBlueという脆弱性攻撃を用いています。EternalBlueとは、Windowsが利用するSMBv1というファイル共有などで用いられるプロトコルにある脆弱性（MS17-010）を悪用した攻撃の名称です。脆弱性のある当プロトコルが利用可能である状態で端末が外部に公開されている場合、脆弱性の悪用により任意のコード実行が可能になります。攻撃者は当脆弱性を悪用し、端末にランサムウェアを送り、データの暗号化を行います。さらに外部から端末に侵入したWannaCryはEternalBlueを用いて組織内の端末に対して感染拡大を図ります。

メールにファイルを添付する攻撃手法と違い、感染させるために端末利用者の操作を必要としない手法となります。そのため、パッチの適用などアクティブな対応をしない限りは、外部からのアクセスにより突然WannaCryの被害にあう可能性が残ります。

当脆弱性の危険性を鑑みて、マイクロソフト社は当時サポートが終了していたWindows XPを含め、ほとんどのWindows OSに対して修正パッチを配布しています。なお、SMBv1は非常に古いプロトコルであり、脆弱性の可能性を考慮すると利用するメリットはないと以前より注意が促されていたプロトコルでした。ゼロデイ攻撃発生以前から、プロトコルの無効化や他プロトコルへのリプレースにより回避できた問題であったとも言えます。

WannaCryの感染確認方法

端末がWannaCryによる被害を受けたかどうかはすぐに判断できます。WannaCryにより暗号化されたファイルの拡張子は「.wncry」になります。また壁紙が黒く変わり、表示されるウィンドウのウィンドウタイトルは「Wanna Decrypt0r」となっています。上述のデモ動画[1]を参考にしていただくと分かりやすいです。

また、WannaCryは工場環境での被害が目立っています。工場環境内の端末は常に稼働し続けており、画面が存在しない端末は暗号化されていることにすら気づかないかもしれません。工場はこのような環境のため、WannaCryに感染したかの判断が難しいと考えられます。

WannaCryに感染した時の対策手順

基本的な対応については多くのマルウェアと変わりはありませんが、WannaCryにおいてはEternalBlueを用いたネットワーク経由での感染活動が顕著であるため、感染が確認されたらすぐにLANケーブルを抜く必要があります。その後の対応については企業のポリシーによって異なりますが、フォレンジックによる詳細な調査を行うか、端末の破棄か初期化を行うことになると想定されます。

WannaCryによる感染を未然に防ぐための対策としては、マイクロソフト社からリリースされたセキュリティパッチを適用することが挙げられますが、それが難しいようであれば、感染のために悪用されたSMBv1を無効化することが推奨されています。

WannaCryが早期に収束した理由「キルスイッチ」とは？

WannaCryは大きなインパクトを残しましたが、活動期間は長くありませんでした。キルスイッチと呼ばれるマルウェアの活動を停止させるスイッチがセキュリティ研究者により推奨されたことが要因です。

また、マルウェアの中にはセキュリティ研究者による解析を妨害する機能を持つものがあり、WannaCryもその一つです。

マルウェアを解析する手法に、解析対象のプログラムを自由に動かして動作を観察するサンドボックスがあります。サンドボックスには解析対象のプログラムが動作を停止せず正しく動くように、当プログラムが行うあらゆる外部通信に対してダミーの返答を行うという特徴があります。この特徴に対して、WannaCryはでたらめなFQDN（Fully Qualified Domain Name、完全に指定されたドメイン名）の名前解決を行っており、この存在しないと思われるFQDNの名前解決のリクエストに名前解決ができたというレスポンスがあった場合、サンドボックスで動作しているとみなし停止します。この名前解決の成功有無により、動作を継続・停止を判断することが、WannaCryにとってのキルスイッチの一つでした。

WannaCryが存在しない特定のFQDNに対して名前解決を行っていることに気付いた研究者が、FQDNのドメインを取得し、名前解決できるようにしたことによって、グローバルで多くのWannaCryが動作を停止することになりました。

WannaCryの日本国内企業の被害事例

キルスイッチの影響もあり、WannaCryが活発に活動した期間は短いものでしたが、それでも150以上の国で数十万台の端末に感染したと言われています[2]。その中でもOT系と呼ばれるような工場環境への感染被害が目立ち、大手自動車メーカーなどが感染被害を受けています。一時的とはいえいずれもシステムの稼働を一部停止するなど、操業に影響を及ぼしています。

工場内の端末に対してWannaCryの感染が広がったのは、WannaCryがEternalBlueという攻撃手法を用いており、感染にユーザのアクションを必要としなかったことが理由の一つに挙げられます。これまでメールを経由した攻撃が主流でしたが、工場内の端末では用途が違い、通常メールの受信は行われていないと考えられます。もしメールに添付する方法での感染手法を用いられていた場合、ファイル共有（SMB）が日常的に利用されているオフィス環境での被害は甚大なものになったと思われます。

工場では近年オープン化（スマート化）が進んでおり、外部との接続を可能とする端末が増えていることも感染拡大した原因の1つです。また、工場端末は常に動き続けている端末が多いため、定期的なセキュリティパッチの更新が難しく、パッチの適用状況が古いままであることも原因と考えられます。

WannaCryの感染対策「Morphisec」

Morphisec（モルフィセック）は、特許技術である「Moving Target Defense（MTD）」により、従来の手法とは全く異なる防御手法を用いて、あらゆる攻撃をリアルタイムで防御し、かつ運用上の問題となる誤検知をほぼ発生させない製品です。また、アンチウイルス製品のようにシグネチャに依存しないため、頻繁なアップデートを必要とせず、オフライン環境でも全機能が動作するエンドポイントセキュリティ製品です。そのため、工場のようなパッチの適応が難しい環境でも保護が可能です。MorphisecはWannaCryを含め、他の未知、亜種のマルウェアに対しての防御実績があります。

[1]HIRT-PUB17009：WannaCryによるネットワーク感染の様子(2021年12月13日時点)

[2] Two years after WannaCry, a million computers remain at risk(2021年12月13日時点)