トレンドマイクロは5月15日、国内外で被害が報告されているランサムウェア「WannaCry」(別名:WannaCrypt、WannaCryptor、Wcryなど)について、同社の対応状況を明らかにした。
ランサムウェアに関する問い合わせは、12日から15日午後4時までに、国内の個人・法人を合わせて175件が寄せられ、WannaCryの感染が認められたケースは9件だった。相談件数の具体的な内訳は、顧客情報のため明らかにできないとしている。
日本語による身代金要求メッセージ
同社は、2月に初めてWannaCryを検出したといい、4月には偽装メールに記載されたDropboxへのリンクからダウンロードされるタイプを確認。5月12日以降に流行の兆しをみせているタイプは、Microsoftが4月のセキュリティ更新プログラム「MS17-010」で対処したSMB v1の脆弱性を悪用して拡散するワーム機能が追加され、段階的に機能が強化されているという。
また、WannaCryが要求する身代金の額は、2月時点のタイプではビットコインで400ドル相当だったが、5月から出回っているタイプは300ドル相当に減額された。暗号化の対象となるファイルの拡張子は166種類で、28種類の言語で脅迫メッセージを表示する。
トレンドマイクロ セキュリティエバンジェリストの岡本勝之氏
セキュリティエバンジェリストの岡本勝之氏によれば、5月から出回っているWannaCryの初期侵入の手口については、偽装メールなどの方法が疑われるものの、いまだ不明だという。何らかの方法で侵入した不正プログラムが、まず攻撃者の指令サーバと通信を行い、「Microsoft Security Center(2.0)」という正規サービスに偽装して、不正なファイルを実行する。さらに、指令サーバからワーム機能を含む複数の不正プログラムがダウンロードされ、ファイルの暗号化と身代金の要求を実行する。
なお、WannaCryの一部のタイプについては、2つの特定サイトに接続すると機能を停止するコードが含まれていたが、その後に登場したタイプでは削除されており、部分的に改変されたタイプが次々に出現しているという。
以下の画像は、同社が公開したWannaCryによるファイル暗号化と身代金要求のデモ。
.JPG)
.JPG)
WannaCry(サンプル)を実行する様子
