ランサムウェア攻撃について知っておくべきこと

ニュース

ワナクライ — WannaCryは、身代金を支払うまでデータをロックします。
*写真：Kaspersky Lab*

150カ国以上で23万台以上のコンピューターが、身代金が支払われるまでデータを暗号化するサイバー攻撃を受けました。これは史上最大規模の攻撃と考えられており、インド、台湾、そしてヨーロッパの複数の国が最も大きな被害を受けています。

Macをお使いの方は、今のところ心配する必要はありません。この「ランサムウェア」はWindows PCのみを標的としているからです。しかし、macOSを狙った攻撃の数は毎年急速に増加しています。

では、ランサムウェアとは一体何なのでしょうか？そして、どうすれば回避できるのでしょうか？知っておくべきことをご紹介します。

この大規模な攻撃は金曜日の朝、ロンドンで初めて発生し、英国の国民保健サービス（NHS）が最大の被害を受けた組織の一つとなりました。その後、攻撃は150カ国以上に広がり、大小さまざまな企業に打撃を与えました。

「WannaCrypt」または「WannaCry」として知られるこの攻撃の実行チームは、これまでに身代金として約3万2000ドルしか受け取っていないと考えられているが、コンピュータの障害により数億ドルが失われたと推定されている。

マイクロソフト社は今回の攻撃を「警鐘」と呼び、ランサムウェアの作成を可能にしたソフトウェアの「脆弱性を蓄積」したとして各国政府を非難している。

これまでにわかっていることは次のとおりです。

ランサムウェアとは何ですか?

ランサムウェアは、感染したコンピュータ上のデータを暗号化し、身代金が支払われるまでユーザーがロックを解除できないようにする悪意のあるソフトウェアの一種です。場合によっては、ハードドライブ全体をロックし、データの復旧を不可能にすることもあります。

システムのロックが解除されるまで、復号鍵の支払いを要求するメッセージが表示されます。攻撃者は通常、ビットコインでの支払いを要求します。ビットコインであれば、金銭の追跡を回避できます。ランサムウェア攻撃の大部分は、macOSよりもはるかに高い市場シェアを持つWindowsを標的としています。しかし、Apple製コンピューターの人気が高まるにつれて、Macユーザーを標的とした攻撃の数はかつてないほど増加しています。

4月に発表されたMcAfee Labsの最新の脅威レポートによると、macOSを狙ったマルウェア攻撃の数は2016年に744%急増し、約46万件のソフトウェアインスタンスが確認されました。幸いなことに、その大部分はアドウェアであり、それほど有害ではありません。

ランサムウェアはどのように拡散するのでしょうか?

多くのマルウェア感染と同様に、ランサムウェアはフィッシングメールによって拡散します。一見無害なファイルがメッセージに添付されており、何も知らないユーザーは本物だと信じて開いてしまいます。すると悪意のあるソフトウェアが攻撃を実行し、ユーザーは手遅れになるまでその存在に気づきません。

WannaCry攻撃は、米国国家安全保障局（NSA）が開発した、ネットワークを通じて拡散できるEternalBlueと呼ばれる脆弱性を利用したものと考えられている。

つまり、ソフトウェアを 1 台の PC にインストールすると、各コンピュータで手動で開かなくても、同じネットワーク上の他のコンピュータにソフトウェアが拡散されることになります。

どうすれば回避できるでしょうか?

ランサムウェアの被害に遭わないための最も簡単な方法は、コンピュータを最新の状態に保つことです。ソフトウェアベンダーは、WannaCryが悪用したMS17-010のような重大な脆弱性が特定されると、通常、すぐにパッチをリリースします。これらのパッチをインストールすることで、コンピュータの安全性を確保できます。

信じられないかもしれませんが、Microsoftは3月に脆弱性MS17-010を修正し、この更新プログラムを「緊急」に分類しました。にもかかわらず、多くの組織が修正プログラムを適用しておらず、マシンが脆弱な状態のままになっていました。Windows XPなどの古いオペレーティングシステムを実行しているPCも危険にさらされていました。

WannaCry が確認されて以来、マイクロソフトは、2 年以上前にサポートを終了したにもかかわらず、さらなる感染拡大を防ぐために Windows XP と Windows Server 2003 の両方にパッチを当てるという異例の措置を講じてきました。

信頼できるウイルス対策プログラムを実行することで、セキュリティを強化することもできます。これらのプログラムは、ダウンロードされるとすぐに特定の攻撃を識別し、被害が発生する前にブロックします。しかし、ウイルス対策プログラムが常にあなたを救ってくれるわけではありません。これらのプログラムが最新の攻撃に対抗するために更新されるのと同じくらい速いペースで、ハッカーは当初は検知されないような新しい攻撃を開発しています。

WannaCry に対してどのような対策が取られていますか?

一言で言えば、すでに感染したコンピュータに対してできることはほとんどありません。専門家たちは、身代金を支払わずにマルウェアを駆除し、システムを復号する方法を検討していますが、それが可能かどうかはまだ明らかではありません。

前述の通り、Microsoftは3月にWannaCryによって悪用された脆弱性に既に対処しているため、最新のPCであればこの脆弱性の影響を受けません。また、さらなる攻撃を防ぐため、Windows XPとWindows Server 2003向けの更新プログラムもリリースしています。

イギリス出身の22歳のセキュリティ研究者が、WannaCryの拡散を防ぐキルスイッチを偶然発見した。彼がしなければならなかったのは、「マルウェアがリクエストする非常に長くて意味不明なドメイン名」を登録することだけで、これによりマルウェアは停止した。

キルスイッチは、ランサムウェアの拡散を防ぐために作成者によって組み込まれました。このソフトウェアはドメインをチェックし、アクティブであると判断された場合、他のマシンへの侵入を直ちに停止します。

ガーディアン紙によると、このドメインはMalwareTechとだけ名乗る研究者にたった10.69ドルで購入され、すぐに毎秒数千件の接続が登録されたという。

しかし、このキルスイッチはWannaCryの終焉を意味するものではありません。

「まだ終わっていない」とMalwareTechは警告する。「攻撃者は我々がどうやって阻止したかに気づき、コードを変更して再び攻撃を開始するだろう。」

WannaCry の影響を受けたのは誰ですか?

Wikipedia によると、WannaCry の影響を受けた企業や組織の長いリストには次のものが含まれます。

ペトロチャイナ
公安局
ルノー
ポルトガルテレコム
外務省
メガフォン
ロシア連邦内務省
ロシア鉄道
テレフォニカ
国民保健サービス
NHSスコットランド
日産英国
フェデックス
マサチューセッツ工科大学
サウジ・テレコム・カンパニー
日立

英国では、NHS（国民保健サービス）が所有する7万点の機器が攻撃の影響を受けたとみられており、コンピューター、MRIスキャナー、血液保存用冷蔵庫、手術室設備などが含まれている。その結果、一部のサービスや緊急性が低い手術は延期を余儀なくされた。

タイン・アンド・ウィアにある日産の工場は、攻撃により一部のシステムが感染したため生産停止を余儀なくされ、ルノーも感染拡大を防ぐため複数の拠点で生産を停止した。

警鐘

マイクロソフトは日曜日に投稿したブログ記事で、今回の攻撃を「警鐘」と表現しています。同社は、NSAが脆弱性の発信源であり、自らの利益のために脆弱性を蓄積していると批判しています。また、政府は同様の攻撃を防ぐためにさらなる対策を講じるべきだと主張しています。

マイクロソフトは、各国政府に対し、「こうした脆弱性を溜め込むことで生じる民間人への被害」について検討するよう求めています。同社は、各国政府が「脆弱性を溜め込んだり、販売したり、悪用したりするのではなく、ベンダーに報告するという新たな要件」を盛り込んだデジタルジュネーブ条約を採択することを求めています。

「今回の攻撃を機に、より緊急性の高い共同行動を起こす決意を新たにすべきです」と同社は結論づけています。「テクノロジー業界、顧客、そして各国政府が協力してサイバーセキュリティ攻撃から身を守る必要があります。更なる行動が必要であり、今こそそれが求められています。」