Wanna Cryptor|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. Wanna Cryptor
             

Wanna Cryptor

WannaCryptor(別名:WannaCry)は、2017年に発生した大規模なランサムウェア攻撃で使用されたマルウェアの一種です。このランサムウェアは、感染したコンピュータ内のファイルを暗号化し、復号のためにビットコインで身代金を要求することで知られています。

この攻撃は、Microsoft Windowsの脆弱性を悪用し、ネットワーク内で自己拡散する特徴を持っています。特に、EternalBlueと呼ばれる脆弱性(SMBv1プロトコルのエクスプロイト)を利用して感染を広げる能力があり、企業や政府機関、医療機関など、幅広い対象に被害を与えました。

WannaCryptorの特徴

1. 暗号化機能

  • WannaCryptorは、被害者のファイルを暗号化することでアクセスできなくします。
  • 暗号化されたファイルは、「.WNCRY」などの拡張子が付加されます。

2. 身代金要求

  • 被害者には、ファイルを復号するためにビットコインで一定額(通常数百ドル)の支払いを求めるメッセージが表示されます。
  • 支払い期限を過ぎると、身代金が増額される場合があります。

3. 自己拡散能力

  • EternalBlue(NSAが開発したエクスプロイト)を利用して、ネットワーク内の他のコンピュータにも感染を広げます。
  • 主にSMBv1(Server Message Blockバージョン1)の脆弱性を悪用します。

4. キルスイッチ

  • WannaCryptorは特定のウェブサイトに接続できない場合にのみ拡散を続けます。このウェブサイトを有効化することで、拡散を一部停止させる「キルスイッチ」が存在しました。

被害規模

  • 2017年5月に初めて発見され、数日間で世界中に拡散しました。
  • 150カ国以上で20万以上のデバイスが感染。
  • 主な被害者には、病院、鉄道会社、物流業者、政府機関などが含まれます。

具体的な影響

  • 英国国民保健サービス(NHS)は、病院や医療施設が停止する大きな被害を受けました。
  • 一部の製造業や交通機関でも業務が停止する被害が発生しました。

WannaCryptorの原因

1. 未更新のWindowsシステム

  • WannaCryptorは、SMBv1の脆弱性(CVE-2017-0144)を利用します。この脆弱性は、Microsoftが2017年3月に提供したパッチで修正されていましたが、多くのシステムが未更新のままでした。

2. セキュリティの欠如

  • SMBv1の使用を継続しているシステムが多く、企業ネットワーク内で感染が拡大しました。

3. フィッシング攻撃

  • WannaCryptorは、感染の初期段階で悪意のある電子メールや添付ファイルを利用して拡散しました。

WannaCryptorへの対策

1. システムの更新

  • Microsoftが提供するセキュリティパッチ(MS17-010)を適用します。
  • 最新のWindows更新プログラムを常にインストールしてください。

2. SMBv1の無効化

  • SMBv1を無効化することで、EternalBlueの脆弱性を悪用した攻撃を防ぎます。
    • コマンドで無効化:
      bash
      dism /online /norestart /disable-feature /featurename:SMB1Protocol

3. バックアップの実施

  • ランサムウェアによるデータ損失を防ぐため、重要なファイルは定期的にバックアップを行い、オフライン環境に保存します。

4. アンチウイルスとファイアウォールの使用

  • 信頼できるアンチウイルスソフトウェアを使用してリアルタイム保護を有効にします。
  • 不要なネットワークポート(特にポート445)の通信を遮断します。

5. ユーザー教育

  • 不審なメールやリンクを開かないように、従業員やユーザーに注意喚起を行います。

WannaCryptor感染時の対応

1. 感染を広げない

  • ネットワークから感染したデバイスを切り離します。
  • 他のデバイスが感染しないように注意を払い、ネットワークを監視します。

2. データの復元

  • 最新のバックアップからデータを復元します。
  • 復元後、感染の痕跡を徹底的に排除します。

3. 身代金の支払いは避ける

  • 攻撃者に身代金を支払うことは推奨されません。支払ってもデータが復元されない場合があり、犯罪を助長する結果となります。

4. セキュリティ専門家に相談

  • 感染が拡大している場合は、セキュリティ専門家やインシデント対応チームに相談してください。

WannaCryptorの教訓

  • システムの更新は必須: セキュリティパッチの適用を怠ることは、脆弱性の悪用を許す結果につながります。
  • ランサムウェア対策の強化: 定期的なバックアップやファイアウォールの適切な設定が重要です。
  • ネットワークセキュリティの見直し: 不要なプロトコルやポートを無効化し、セキュリティ監視を強化します。

まとめ

WannaCryptorは、近年のランサムウェア攻撃の中でも特に大規模であり、未更新のシステムや不十分なセキュリティ設定が原因で多くの被害を引き起こしました。これを教訓に、定期的な更新、バックアップ、セキュリティ対策の徹底がますます重要になっています。WannaCryptorのような攻撃を防ぐためには、技術的な対策とともに、ユーザーの意識向上も欠かせません。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。