お役立ち資料
Introduction
世のなかにはさまざまなセキュリティの脅威が存在し、WannaCryもそのひとつです。WannaCryに感染すると、社内のデータが暗号化され、企業活動に大きな影響をおよぼします。そのため、日ごろからセキュリティ対策を強化しておくことが重要です。
この記事では、WannaCryとは何か、感染時の対応、普段行っておくべき対策などについて解説します。
目次
WannaCry(ワナクライ)とは?
WannaCry(ワナクライ)とは、どのようなサイバー攻撃なのでしょうか?その詳細や誕生した経緯、仕組みなどについて解説します。
ワーム型ランサムウェアのこと
WannaCry(ワナクライ)とは、運輸総合研究所の『サイバー攻撃に対する人材育成に関する調査研究報告書(平成 30 年 3 月)』によると、定義は次のとおりです。
WannaCry
「WannaCry」とは、Microsoft Windows を標的としたワーム型ランサムウェアの一種
もっとも大きな特徴は、ランサムウェアとワームの2つから構成されていることです。ランサムウェアとは、PC上のデータに暗号化やロックなどをかけて、元に戻す代わりに身代金を要求するマルウェアのことです。一方のワームは、ネットワークなどを介して自動的に感染を広げます。暗号化されたファイルの拡張子が「WCRY」などとなっているため、WannaCryと呼ばれるようになりました。
WannaCryが誕生した経緯
WannaCryは、米国家安全保障局(NSA)が開発しましたが、のちに盗み出されて悪用されたものです。EternalBlueというWindowsの脆弱性を悪用して攻撃するツールによって、急速に拡散していきました。Microsoft社はWindowsの脆弱性対策を行っていたものの、セキュリティパッチの適用が不十分なWindowsPCに広まっていったのです。
WannaCryの仕組み
WannaCryによる感染と攻撃の仕組みについて、ご説明します。
WannaCryに感染する仕組み
まずは、ワームの「ドロッパー1」という機能が、Windowsの脆弱性「MS17-010」を利用して侵入します。侵入後にランサムウェアの「ドロッパー2」が実行され、データの暗号化を行います。
WannaCryによる攻撃の仕組み
「MS17-010」という脆弱性を狙い、「SMBv1」というファイル共有やプリンタ共有の仕組みに対して攻撃を行います。その結果「SMBv1」のメモリ領域がオーバーフローし、PCのデータが書き換えられてしまいます。
WannaCryに感染したらどうなる?
WannaCryに感染すると、具体的にどのような被害が起こるのかをご説明します。
データやファイルが暗号化され、閲覧できなくなる
WannaCryに感染すると、PC内のデータやファイルが暗号化されてしまいます。暗号化の種類は170種類以上といわれており、簡単に解除できるものではありません。ファイル名の末尾が「a.jpg.WNCRY」などと変えられてしまい、利用できなくなります。
社内で利用するデータが暗号化されると業務を遂行できず、運営している企業サイトやECサイトなどの環境だった場合は、サービスが停止してしまうでしょう。
身代金を要求される
暗号化したデータを元に戻す代わりに、身代金を支払うことを要求されます。過去にランサムウェアの被害にあった企業が、どれくらいの被害を受けたのかを見てみましょう。
ある海外企業では、ランサムウェアによる攻撃を受け、1万台以上のPCが感染し、約3,000台のPCのデータが暗号化されました。さらに、約1,000台のサーバーが感染し、その半数のデータが暗号化されています。その結果、被害総額は約70億円にのぼりました。
国内企業もランサムウェアの被害にあい、全面的なシステム障害が発生し、基幹業務が停止しています。その後、復旧に2ヶ月以上を要しました。
内部・外部のPCに拡散していく
WannaCryはワームの機能により、自動的に感染を広げていきます。プログラムなどに寄生するウイルスとは違い、ワームは単独で存在して感染を拡大させられるので、厄介です。社内のPCやサーバーが1台感染すると、ネットワークにつながっているほかの機器にどんどん拡散していきます。
そのため、感染が確認されたらすぐにオフラインにしないと、内部だけでなく、外部にも感染が広がる危険もあります。社内の被害にとどまらず、取引先や顧客などに影響がおよぶ可能性もあるでしょう。
WannaCryに感染しているかどうか を確認する方法
WannaCryに感染したかどうかを知るためには、通信ログを確認します。
DNSサーバーのクエリログを確認し、WannaCryのドメイン名がないか検索しましょう。ファイアウォールのログからも、検出できることがあります。WannaCryは445/tcpポートを使って、自動生成したIPアドレスにアクセスして自動的に拡散するため、そのような動きがないかを確認してください。ランダムなIPアドレスで445/tcp接続が行われている場合は、WannaCryに感染している可能性が高いです。
ほかにも、イベントログを確認する方法もあります。WannaCryに感染すると『イベントID 7045』でサービスをインストールする可能性があるので、イベントIDで検索してみてください。
WannaCryに感染してしまった場合の対処法
WannaCryに感染したことが判明したら、どのような対処を行う必要があるのでしょうか。感染源のPCを速やかに特定して、ネットワークから外して隔離後、落ち着いて対処を行う必要があります。ここでご説明する対処法をマニュアル化しておき、普段から関係者の間で確認しておくとよいでしょう。
感染元のPCと感染経路を特定する
WannaCryに感染していることが判明した場合には、感染元のPCがどれかを特定し、感染経路を調べます。
上記でご説明したとおり、各種ログを確認し、どのPCが感染しているのかを探ります。通信ログやファイアウォールのログから感染源を特定して、感染経路を割り出してください。
感染元のPCをネットワークから外す
感染元のPCがどれかわかったら、ネットワークから外します。LANケーブルを抜くなどの物理的な方法で、ネットワークから外すようにしてください。
また、PCを再起動してはいけません。WannaCryはメモリ上で動作しているため、再起動すると消えてしまい、対処できなくなる可能性があります。
PCを再起動せずにネットワークから物理的に遮断し、ほかのPCやサーバーに影響がないかを速やかに確認しましょう。ほかの環境に感染が起きていないことを確認するまでの一時対処は、すばやく行う必要があります。また、必要に応じてシステムの停止、外部との接続の遮断など対応が必要な場合もあります。
感染源の特定と隔離が終わったら、データの復旧などは行わない方がよいでしょう。下手に触ると被害が拡大する恐れがあるため、影響調査やログ収集などの作業以外は専門家に任せることをおすすめします。
警察や専門家に相談して影響調査を行う
被害状況を確認して、警察やセキュリティの専門家に相談しましょう。プロの目で感染元や感染経路の特定、データの確認、脅威が残っていないかの確認などをしてもらいます。また、各種ログを調査し、どの程度まで影響が広がっているかの確認も必要です。
たとえば、会員サイトやECサイトなどを運営している場合などは、顧客データや取引データなどに影響がないかを確認しなければなりません。ネットワークを介して、取引先などに影響がおよんでいないかなども確認します。さらに、社内の機密情報や個人情報の流出が起こっていないかなども、確認が必要です。
このような影響調査は、どこまでの範囲を調べればよいのかによって、膨大な作業量になることがあります。そのため、セキュリティ対策の専門家の意見を聞いて、的確な対応をすばやく計画して行う必要があるでしょう。
端末の初期化などの対処を行う
影響調査が終わって被害が把握できたら、データの復旧などの対処を行います。暗号化されたデータを復元するのはむずかしいです。そのため、データのバックアップがとれていることを確認したら、端末を初期化するしかありません。
ただし、データを初期化してしまうと、何が起こったのか詳細を確認できなくなってしまいます。状況確認などをすべて終えてから、初期化しましょう。
その後、WannaCryに感染しないように、パッチを適用します。WannaCryが狙うのはWindowsの脆弱性「MS17-010」であることがわかっているので、速やかにWindowsのパッチを適用してください。
さらに、なぜWindowsが最新になっていなかったのかを確認して再発防止策を講じないと、ほかのランサムウェアやワームに感染してしまう可能性があります。Windowsのパッチに限らず、OSやソフトウェア、ハードウェアなどが最新の状態に保たれているかを確認しましょう。そして、定期的にアップデートが行われる仕組みを導入することで、再発防止が完了します。
WannaCryの感染を予防するための対策
WannaCryの感染を予防するための対策について、詳しく解説します。ここでご説明する対策がとられていない場合には、速やかに対策を講じることをおすすめします。
ウイルス対策ソフトをインストールする
ウイルス対策ソフトがインストールされていない、またはインストールが不十分な場合には、速やかにインストールを行ってください。インストールはされているものの最新の状態ではない、普段使っていない端末のバージョンが古いといったこともよくあるので、社内の機器をすべて確認しましょう。
ウイルス対策ソフトが必ずすべての端末に適用され、つねに最新状態になるような運用フローを確立する必要もあります。
OSやソフトウェアをアップデートし、最新の状態に保つ
ウイルス対策ソフトが最新の状態でも、OSやソフトウェアなどの製品のアップデートが行われていないと、脆弱性が潜んだままになってしまいます。そのため、つねに最新の状態に保つような運用フローを確立してください。
WannaCryは、Windowsの脆弱性「MS17-010」を狙って感染します。ほかにも脆弱性が存在する場合、ウイルスやワームが侵入する可能性があります。ソフトウェアやハードウェアはつねに最新の状態を保っておきましょう。
不審なリンクやファイルを開かない
ランサムウェアは、メールやLINEなどに添付されたリンクやファイルを開くことで感染することが多いです。そのため、社内に届く不審なメールを安易に開かないように、社内に周知を徹底しましょう。セキュリティ研修を充実させる、抜き打ちでメールを送信してファイルを開かないかチェックするなどの対応も効果的です。
ネットワークをVPNなどで暗号化する
ネットワークを接続する際には、必ず通信が保護されたVPNを使うようにします。外出先などで、公衆Wi-Fiを使うことは避けましょう。公衆Wi-Fiに接続することで、外部に情報が流出する、セキュリティ攻撃を受けるなどのリスクが高まります。
自身のUSBメモリをむやみに接続しない
個人所有、または出所が不明なUSBメモリや外づけデバイスなどは、使用を禁止にします。どこにどのようなウイルスが潜んでいるかはわからないので、社内の備品のみ使えるようにしておくのがよいでしょう。
こまめにデータバックアップを行う
データのバックアップはこまめに行いましょう。自動バックアップをスケジューリングしておくのが、もっとも効果的です。ランサムウェアが感染してデータが暗号化されてしまうと、データを復旧するのはむずかしいため、バックアップは必須です。
定期的なセキュリティ診断を受ける
定期的にセキュリティ診断を受けることで、OSやソフトウェア、ネットワーク機器などを網羅的に診断し、脆弱性の有無を確認できます。
社内システムやネットワークなどのセキュリティ診断を受けたことがない場合には、どのような脆弱性が潜んでいるかわかりません。一度診断を受けることで、脆弱性の有無を確認できます。その後も定期的に診断を受ければ、安心です。
SHIFTのセキュリティ(脆弱性)診断について
SHIFTでは、国際基準に基づいた判断基準で、次のようなセキュリティ(脆弱性)診断を対応しています。
<SHIFTのセキュリティ(脆弱性)診断>
・Webアプリケーション診断
・スマートフォンアプリケーション診断
・クラウド診断
・ペネトレーションテスト
・エンドポイント診断
・診断内製化支援
・負荷テスト
・プラットフォーム診断
・ソースコード診断
診断基準は、ASVSやOWASP TOP10などの国際基準に準拠しているため、第三者検証として最適です。実績のあるスタッフ200名以上の体制で、安定した品質のセキュリティ診断を実施しています。セキュリティ診断を受けたことがない、どのようなものか知りたいという場合にも、お気軽にお問い合わせください。
▼あわせて読みたい▼
>>脆弱性診断とは?診断の種類や必要な理由、やり方やツールについても解説のページへ
>>脆弱性診断とペネトレーションテストの違いとは?自社に必要なのはどちらか、選び方を解説のページへ
>>セキュリティ診断サービスとは?比較・選定ポイントについて解説のページへ
>>脆弱性診断の適切な頻度とは?項目ごとの違いやタイミングについて解説のページへ
関連サービスについて
脆弱性診断サービス資料
SHIFTの脆弱性診断は、ホワイトハッカーの診断プロセスを徹底的に標準化した、手動でもブレのない高い品質水準を誇る診断です。この資料では、脆弱性診断の課題やそれを解決するSHIFTのサービス、選ばれる理由などをまとめています。
SHIFTの脆弱性診断は、ホワイトハッカーの診断プロセスを徹底的に標準化した、手動でもブレのない高い品質水準を誇る診断です。この資料では、脆弱性診断の課題やそれを解決するSHIFTのサービス、選ばれる理由などをまとめています。
ダウンロード
まとめ
この記事では、WannaCryとは何か、感染時の対応、普段行っておくべき対策などについて解説しました。
WannaCryをはじめとしたさまざまなセキュリティの脅威が存在しており、その種類も多様化しています。このようなセキュリティの脅威に対抗するために、普段からセキュリティ診断を定期的に行い、万が一感染した場合の対応策をマニュアル化しておく必要があるでしょう。
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
標的型攻撃とは?主な手法や被害事例、防ぐための対策について解説
2024.04.30
詳しく見る
-
- セキュリティ
CVSSとは?最新CVSS v4.0の評価基準、スコアの計算方法について解説
2024.04.26
詳しく見る
-
- セキュリティ
XDRとは?EDR・NDRとの違いや機能、導入メリットについて解説
2024.04.24
詳しく見る
-
- セキュリティ
FIDO認証とは?パスワード不要の仕組みや安全性、メリット・デメリットを解説
2024.04.23
詳しく見る
-
- セキュリティ
脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方など
2024.04.26
詳しく見る
-
- セキュリティ
PCI DSSとは?認証取得のメリットや目的、最新v4.0での要件について解説
2024.04.18
詳しく見る
-
- セキュリティ
IDaaSとは?機能や導入するメリット・デメリット、比較ポイントを解説
2024.04.16
詳しく見る
-
- セキュリティ
CASBとは?SWGとの違いや機能、導入するメリット・注意点を解説
2024.04.09
詳しく見る
-
- セキュリティ
SBOMとは?仕組みや導入するメリット、ツールの選び方について解説
2024.04.09
詳しく見る
-
- セキュリティ
ゼロデイ攻撃とは?名前の由来やその脅威、企業がとるべき対策について解説
2024.03.26
詳しく見る
