編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」
ランサムウェア

誰が何のために?--マルウェア「Wannacry」で残る3つの謎 - (page 2)

國谷武史 (編集部)

2017-05-19 17:59

疑問2. Wannacryの初期侵入はどのように行われたのか?

 解析や調査から現時点で判明しているのは、Wannacryが感染元の端末から感染先を広げていく方法で、Wannacryが最初に侵入する方法については分かっていない。

 当初は、典型的な侵入方法とされる偽装メールの添付ファイル、あるいはメールに記載されたリンク先からのファイルダウンロードが有力視された。しかし、どのベンダーも感染源と目されたメールの存在を確認していないという。Wannacryのような大規模感染であれば、「通常なら攻撃メールがすぐに発見されるはず」というのがベンダー各社の見解だ。

 初期侵入の手口を探る1つの手がかりが、Wannacryの拡散方法にあるとする専門家もいる。

 Wannacryが拡散時に使用する脆弱性や、脆弱性の攻撃ツール「EternalBlue」、EternalBlueが端末に仕掛けるバックドア「DOUBLEPULSAR」などは、いずれもShadow Brokersが暴露したものとされる。この暴露が行われた直後、いくつかのセキュリティベンダーは、DOUBLEPULSARに感染している端末が世界中に数十万台存在すると報告し、その後にWannacryの大規模感染が発覚した

 こうした経緯や、Wannacryの感染規模とDOUBLEPULSARの感染規模がほぼ同等であるといった状況から、専門家らが予想するWannacryの初期感染の有力なシナリオは次のような内容だ。

 まず攻撃者は、Shadow Brokersによって暴露された方法をそのまま、あるいは参考にして、ネットワーク経由で脆弱な端末を探索する。脆弱な端末に対してツールで攻撃し、バックドアを仕掛ける。さらに、バックドア通じてワーム機能を搭載したWannacryを送り込み、ここから大規模感染につながった……。

 Wannacryの感染規模は150カ国以上で数十万台以上とされるが、感染台数に対して被害組織の数は少ないという見方もある。その理由は、Wannacryが感染先を探索する際に接続を試みるポート445/TCPを、多くの企業ではインターネット側には閉じており、LANなど内部ネットワーク側には開いているためだというものだ。

 情報処理推進機構(IPA)やJPCERT コーディネーションセンター(JPCERT/CC)などによれば、モバイル接続ができる持ち出し端末での感染ケースが報告された。持ち出し端末がオフィスの外などでインターネット接続された際にWannacryに感染し、その端末が感染元としてオフィス内のLANにも接続されたことで、組織内部に感染が拡大した可能性を指摘するもある。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]