編集部からのお知らせ
SNS分析のトレンドまとめ
注目「Googleのクラウド事業を読み解く」
ランサムウェア

これからも生き残るWannaCry--ランサムウェアとワームの"顔"からみる理由 - (page 3)

國谷武史 (編集部)

2017-06-29 06:00

ワームとしての見方

 WannaCryのもう1つの顔となるワームは、ネットワークやリームバブルメディアなどを経由して、コンピュータやソフトウェアの脆弱性などを突きながら、急速に感染を広げる。

 2000年代初頭には、「Nimda」や「CodeRed」と呼ばれるワームが世界的に流行し、感染先を探し回るワームの爆発的なトラフィックによって、企業・組織のネットワークやシステムをダウンさせる被害をもたらした。また2008年頃に出現した「Downad」(別名:Conficker)は、ネットワーク経由だけでなく、USBメモリなどのリムーバブルメディア経由でも感染し、オンライン/オフラインを問わずあらゆるコンピュータが被害に遭った。

 近年は脆弱性対策やネットワークの監視が進み、上述のような大規模被害をもたらすケースは少なくなったが、依然としてマルウェア検出ランキングの上位に度々浮上する。いったん流行したワームは、その後何年に渡って存在し続ける脅威になるのが特徴だ。岡本氏は、「Downadは、数年前でも月間の検出数がトップになった。WannaCryも同じようになる可能性がある」と警鐘を鳴らす。

 警察庁が注意喚起しているように、ワームとしてのWannaCryの脅威は既に顕在化し、自動車メーカーでは工場が一時的に生産停止に見舞われる事態も起きている。

 WannaCryの感染手法では、まずインターネットやLANなどのネットワークに接続された機器に445/TCPポートでの接続を試みる。接続できると、機器にSMB v1の脆弱性などが存在するかを確認し、脆弱性がある場合は、先述した攻撃手法によってバックドアを設置し、バックドアを介してWannaCryを送り込む。この手法は、時期に出現した別の複数のマルウェアにも使われていた。

 岡本氏によれば、当初この感染手法がなかなか判明しなかったのは、445/TCPポートをネットワークに公開している企業や組織が少ないと考えられていたためだった。「通常、企業や組織では必要が無ければインターネットに対して445/TCPポートを閉じているとみられていたが、実際に『Shodan』で検索すると、445/TCPポートを公開している多くの機器が見つかる」

 SMB v1については、2016年9月の段階でMicrosoftが使用中止を勧告し、2017年3月にはSMB v1の脆弱性を修正するセキュリティ更新プログラム「MS17-010」もリリースされていた。それにも関わらずWannaCryが急速に拡散したのは、セキュリティ更新プログラムの適用や、445/TCPポートおけるセキュリティ上の対応が進んでいなかったことが指摘されている。

 端末やネットワークの利用規模が大きくなればなるほど、セキュリティ対策の実施状況を正確に把握することは難しくなる。ワーム機能によるWannaCryの拡散は、こうしたセキュリティの課題を露呈させたともいえるだろう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]