ワームとしての見方
WannaCryのもう1つの顔となるワームは、ネットワークやリームバブルメディアなどを経由して、コンピュータやソフトウェアの脆弱性などを突きながら、急速に感染を広げる。
2000年代初頭には、「Nimda」や「CodeRed」と呼ばれるワームが世界的に流行し、感染先を探し回るワームの爆発的なトラフィックによって、企業・組織のネットワークやシステムをダウンさせる被害をもたらした。また2008年頃に出現した「Downad」(別名:Conficker)は、ネットワーク経由だけでなく、USBメモリなどのリムーバブルメディア経由でも感染し、オンライン/オフラインを問わずあらゆるコンピュータが被害に遭った。
近年は脆弱性対策やネットワークの監視が進み、上述のような大規模被害をもたらすケースは少なくなったが、依然としてマルウェア検出ランキングの上位に度々浮上する。いったん流行したワームは、その後何年に渡って存在し続ける脅威になるのが特徴だ。岡本氏は、「Downadは、数年前でも月間の検出数がトップになった。WannaCryも同じようになる可能性がある」と警鐘を鳴らす。
警察庁が注意喚起しているように、ワームとしてのWannaCryの脅威は既に顕在化し、自動車メーカーでは工場が一時的に生産停止に見舞われる事態も起きている。
WannaCryの感染手法では、まずインターネットやLANなどのネットワークに接続された機器に445/TCPポートでの接続を試みる。接続できると、機器にSMB v1の脆弱性などが存在するかを確認し、脆弱性がある場合は、先述した攻撃手法によってバックドアを設置し、バックドアを介してWannaCryを送り込む。この手法は、時期に出現した別の複数のマルウェアにも使われていた。
岡本氏によれば、当初この感染手法がなかなか判明しなかったのは、445/TCPポートをネットワークに公開している企業や組織が少ないと考えられていたためだった。「通常、企業や組織では必要が無ければインターネットに対して445/TCPポートを閉じているとみられていたが、実際に『Shodan』で検索すると、445/TCPポートを公開している多くの機器が見つかる」
SMB v1については、2016年9月の段階でMicrosoftが使用中止を勧告し、2017年3月にはSMB v1の脆弱性を修正するセキュリティ更新プログラム「MS17-010」もリリースされていた。それにも関わらずWannaCryが急速に拡散したのは、セキュリティ更新プログラムの適用や、445/TCPポートおけるセキュリティ上の対応が進んでいなかったことが指摘されている。
端末やネットワークの利用規模が大きくなればなるほど、セキュリティ対策の実施状況を正確に把握することは難しくなる。ワーム機能によるWannaCryの拡散は、こうしたセキュリティの課題を露呈させたともいえるだろう。