5月に世界的な騒動を引き起こしたマルウェア「WannaCry」(別名:WannaCrypt、WannaCryptor、Wcryなど)は、2017年のセキュリティ動向を振り返った時に、人々の記憶に残る存在となるかもしれない。ランサムウェアとワームという、2つの"顔"を持ったWannaCryの出来事から、今後のセキュリティ対策について考えてみたい。
WannaCryが見せた2つの顔
WannaCryがその存在感を否応無しに知らしめたのが、ランサムウェアとしての顔だろう。ファイルやコンピュータを暗号化によって人質に取り、デスクトップ画面に表示される身代金要求メッセージは、ユーザーを恐怖に陥れるには十分過ぎる攻撃手法だった。
それに加えてWannaCryは、従来のランサムウェアには見られなかった勢いで拡散するワームとしての顔を持っていた。感染に成功した組織のコンピュータからネットワークを介して一気に感染を広げ、単体のPCだけでなくITシステムをダウンさせた。海外を中心に事業停止へと追い込まれる組織が相次ぎ、これがランサムウェアとしての顔を、より強く印象づけることになった。
被害者を恐怖に陥れるWannaCryのランサムウェア画面
こうした経緯から騒動が起きた当初のWannaCryは、「新型ランサムウェア」「新手のサイバー脅威」としてとらえられ、世界中のメディアがセンセーショナルに報じた。ランサムウェア自体は10年以上前から存在していたものの、国内では2015年頃から主にメールで拡散する「Locky」などによって認知が広がり、WannaCryの出現でピークを迎えたといえるかもしれない。
その後、WannaCryの正体について解明が徐々に進むと、WannaCry自体は2017年初頭頃に出現したランサムウェアの1つ(WannaCryの初期型とされる)であり、5月に騒動を引き起こしたタイプは、この初期型にワーム機能が追加された亜種だと分かった。ワーム機能は、Microsoftが3月のセキュリティ更新プログラムで解決した脆弱性や、「Shadow Brokers」を名乗る謎の集団が4月に公表した脆弱性の攻撃手法とバックドアを組み合わせたものだった。
つまりWannaCryは、わずか半年ほどの間に、数多くあるランサムウェアの一種から脆弱性やバックドアによる拡散機能を追加して世界的な騒動を引き起こす歴史的なマルウェアに進化した。
一方でWannaCryが持つ2つの顔には、ちぐはぐな点も見られた。ランサムウェアとしては、特定のIPアドレスに接続した場合はコンピュータを人質に取らなかったり(キルスイッチ機能と呼ばれる)、ビットコインによる身代金の支払い方法に不備があったりと、「サイバー犯罪手法としては未熟だ」と指摘する指摘するセキュリティ研究者は少なくない。
しかし感染の拡散手法は、騒動が起きた当初の段階ではセキュリティベンダーも把握できないほどに分からず、後に上述の仕組みが判明するまでベンダーは、「不審なメールに注意せよ」といった基本的なマルウェア対策を呼び掛けざるを得なかった。Shadow Brokersが公表した攻撃手法を、1カ月もしないうちにほぼ無名の存在だったWannaCryへ取り込む攻撃者のスピード感は、多くの専門家が驚くほどの状況だったかもしれない。
6月に入るとWannaCryは、未熟とされたランサムウェアとしての顔が徐々に薄れ、高度なワームとしての顔を強めるようになった。6月22日には警察庁から、ランサムウェアの特徴がみられない、ワームとしてのWannaCryに対する注意喚起が出されている。
こうした2つの顔が目まぐるしく変化しているWannaCryについて、トレンドマイクロでセキュリティエバンジェリストを務める岡本勝之氏は、「ランサムウェアの歴史に照らしてみると、1つのターニングポイントになった」と指摘する。
