WCry ランサムウェア攻撃からの防御
5 月 12 日に、WCry 2.0 という名前(WannaCry というニックネーム)の非常に強力なランサムウェアが 90 カ国以上に拡大し、世界中で 10 万台以上のマシンが感染しました。この攻撃は、ロシア、ウクライナ、台湾に主な標的にしていましたが、英国の病院、スペインの通信事業者、ドイツ国内の駅に設置されている端末コンピュータ、FedEx を始めとして、世界中に被害が拡大しました。Shadow Brokers が ETERNALBLUE という名前で NSA からリークした Windows のネットワーク脆弱性を悪用することで、通常のランサムウェアよりもはるかに急速に拡大しました。
ウォッチガードの CTO、Corey Nachreiner は、2017 年にネットワークワーム技術を使って自己増殖するランサムウェア亜種である「ランサムワーム」が初めて見つかると予測していましたが、この攻撃は明らかに、その特性と一致しているようです。Corey は、シアトルを拠点とする技術ニュースサイト、GeekWire のインタビューで、この攻撃について解説し、WCry 2.0 が悪用している脆弱性を修正するために Microsoft が 5 月 13 日に Windows の古いバージョンのパッチを公開したと説明しています。この記事は、https://www.geekwire.com/2017/microsoft-issues-highly-unusual-ransomware-patch-xp-old-windows-versions/ (英文)でお読みいただけます。
Corey は、このランサムウェア攻撃とその対策について、GeekWire の寄稿記事で詳しく説明しています。以下にご紹介する記事の抜粋で概要をご確認いただき、詳細は、GeekWire の記事全文をご覧ください。
現段階では、この攻撃を誰が始めたのかは明らかではありませんが、この攻撃に使われた手法から見て、実際には犯罪目的の通常のランサムウェア攻撃であると考えられます。攻撃者が NHS(イギリス国民保険サービス)や通信事業者を意図的に標的にしたとは思えません。むしろ、NSA から流出した脆弱性が使われたことで、このマルウェア攻撃が急拡大したものと考えられます。
Corey は、WCry 2.0 や同様のランサムウェアについて、次のような対策を勧めています。
- システムに速やかにパッチを適用する – Microsoft は 3 月に ETERNALBLUE エクスプロイトを修正しているため、修正日から WCry の発生までの間にシステムにパッチを適用していれば、安全です。
- 古いソフトウェアをできるだけ使用しない – WCry 2.0 に感染した一部の病院では、Windows XP が今も使用されていました。サポート切れになったソフトウェアをやむを得ず使い続けるには、多くの対策が必要であることを認識しなければなりません。
- ランサムウェアを含む災害対策を計画する – データのバックアップが極めて重要です。
- 高度マルウェアからの保護と多層型防御に投資する – シグネチャベースのウイルス対策は、WCry のような新しい脅威からの保護には有効ではなく、さらに、マルウェアの作成者は、マルウェアのパッケージ方法を変えることで、これらの検知を回避します。
ウォッチガードによる WCry 2.0 に関する詳細説明については、ここをクリックしてご覧ください。また、Talos のこのマルウェアに関する技術的な詳細解説(英文)も参照してください。Secplicity の Corey による 2017 年セキュリティ予測の全文では、ランサムウェアや政府機関が脆弱性を非公開にすることによる影響などについても解説しています。