ランサムウェア

段階的に機能が追加--写真で見るランサムウェア「WannaCry」の脅迫画面

國谷武史 (編集部)

2017-05-15 19:56

 トレンドマイクロは5月15日、国内外で被害が報告されているランサムウェア「WannaCry」(別名:WannaCrypt、WannaCryptor、Wcryなど)について、同社の対応状況を明らかにした。

 ランサムウェアに関する問い合わせは、12日から15日午後4時までに、国内の個人・法人を合わせて175件が寄せられ、WannaCryの感染が認められたケースは9件だった。相談件数の具体的な内訳は、顧客情報のため明らかにできないとしている。

日本語による身代金要求メッセージ''
日本語による身代金要求メッセージ

 同社は、2月に初めてWannaCryを検出したといい、4月には偽装メールに記載されたDropboxへのリンクからダウンロードされるタイプを確認。5月12日以降に流行の兆しをみせているタイプは、Microsoftが4月のセキュリティ更新プログラム「MS17-010」で対処したSMB v1の脆弱性を悪用して拡散するワーム機能が追加され、段階的に機能が強化されているという。

 また、WannaCryが要求する身代金の額は、2月時点のタイプではビットコインで400ドル相当だったが、5月から出回っているタイプは300ドル相当に減額された。暗号化の対象となるファイルの拡張子は166種類で、28種類の言語で脅迫メッセージを表示する。

トレンドマイクロ
トレンドマイクロ セキュリティエバンジェリストの岡本勝之氏

 セキュリティエバンジェリストの岡本勝之氏によれば、5月から出回っているWannaCryの初期侵入の手口については、偽装メールなどの方法が疑われるものの、いまだ不明だという。何らかの方法で侵入した不正プログラムが、まず攻撃者の指令サーバと通信を行い、「Microsoft Security Center(2.0)」という正規サービスに偽装して、不正なファイルを実行する。さらに、指令サーバからワーム機能を含む複数の不正プログラムがダウンロードされ、ファイルの暗号化と身代金の要求を実行する。

 なお、WannaCryの一部のタイプについては、2つの特定サイトに接続すると機能を停止するコードが含まれていたが、その後に登場したタイプでは削除されており、部分的に改変されたタイプが次々に出現しているという。

 以下の画像は、同社が公開したWannaCryによるファイル暗号化と身代金要求のデモ。

WannaCry(サンプル)を実行する様子

WannaCry(サンプル)を実行する様子

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]