ランサムウェア

ランサムウェア「WannaCry」騒動、根本対策は2016年9月から存在

ZDNET Japan Staff

2017-05-15 11:49

 世界百数十カ国以上でランサムウェア「WannaCry」(別名:WannaCrypt、WannaCryptor、Wcryなど)による感染被害が多発している問題についてMicrosoftは5月14日、Windowsユーザーへのガイダンスを公開した。ただ、同社が2016年9月に発した勧告に対応していれば、被害が大規模化しなかった可能性もある。

WannaCryの脅迫メッセージ。日本語など20以上の言語が使われている(出典:トレンドマイクロ)''
WannaCryの脅迫メッセージ。日本語など20以上の言語が使われている(出典:トレンドマイクロ)

 Microsoftは、WannaCryが悪用するServer Message Block(SMB) v1の脆弱性「MS17-010」の修正パッチを、3月のセキュリティ更新プログラムでサポート対象のWindows OS(4月にサポートが終了したVistaを含む)向けに配信。被害状況から13日には、サポートが終了しているXPや8、Windows Sever 2003などにも異例の緊急パッチをリリースした。

 セキュリティベンダーなどの情報によれば、WannaCryの感染手法には、インターネットに公開されているSMB v1のサーバの探索およびリモートからのエクスプロイトの実行、あるいはオンラインストレージサービスに置かれているWannaCryのダウンロードリンクを記載したメールを送り付けるといったものがあるようだ。

 Microsoftは、2016年9月に公開したセキュリティ更新プログラム「MS16-114」に関連して、SMB v1自体の使用を中止するよう勧告。30年以上前に開発されたSMB v1は、現在のセキュリティ脅威に対して安全ではないと断言し、ファイル共有の点でも最新バージョンに比べて効率性が劣るなど、使い続けるメリットが無いとしていた。

Microsoftは、2016年9月にSMB
Microsoftは、2016年9月にSMB v1の使用中止を勧告していた

 つまりユーザーが、この勧告が出された時点でSMB v1の使用を中止していれば、WannaCryによる被害が大規模化しなかった可能性がある。勧告後すぐには対応が難しいとしても、WannaCryの攻撃キャンペーンが始まったとみられる4月下旬までは約半年のタイムラグがあり、代替策の検証などを考慮する時間は十分にあったといえるだろう。

回避策と復旧の可能性

 WannaCryの感染を回避する方法は、最新のセキュリティ更新プログラムをコンピュータに適用して脆弱性を解消し、セキュリティソフトも最新の状態にしてWannaCryなどの不正プログラムをなるべく検知できるようにしておくことが挙げられる。

 Windowsの設定「プログラムと機能」から「Windowsの機能の有効化または無効化」のメニューを開き、「SMB 1.0/CIFS ファイル共有のサポート」のチェックを外しておく方法もある。

 また、WannaCryに限らずランサムウェアなどへの対策では、平時からシステムやユーザーのデータをこまめにバックアップし、万一の際に復元できるよう手順などを含めて備えておくことが求められる。

 シマンテックによると、現時点で日本のサポート窓口には数件の問い合わせが寄せられているという。WannaCryに暗号化されたファイルを復号することは現状では不可能であるものの、シマンテックやトレンドマイクロでは復号方法の有無などを含めて解析を進めている最中だと説明している。

 なおWannaCryが悪用する脆弱性については、4月下旬に「DOUBLEPULSAR」と呼ばれるバックドアの感染にも悪用されていたことが発覚。一部報道によれば、WannaCryの感染にDOUBLEPULSARが使用されている可能性もあり、検知や駆除などの際にはWannaCryだけでなく、DOUBLEPULSARにも注意する必要があるとみられる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    生成 AI の真価を引き出すアプリケーション戦略--ユースケースから導くアプローチ

  2. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  3. セキュリティ

    マンガで解説、「WAF」活用が脆弱性への応急処置に効果的である理由とは?

  4. セキュリティ

    クラウドネイティブ開発の要”API”--調査に見る「懸念されるリスク」と「セキュリティ対応策」

  5. セキュリティ

    5分で学ぶCIEMの基礎--なぜ今CIEM(クラウドインフラストラクチャ権限管理)が必要なのか?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]