5月中旬から6月にかけて相次いだ「WannaCry」亜種などの感染攻撃では、インターネットに公開された機器が、マルウェア侵入経路の1つと考えられている。国内のセキュリティ機関からは、持ち出しPCやモバイルルータなど、グローバルIPアドレスでインターネットに接続可能な機器への注意が呼び掛けられている。
WannaCry亜種などの感染では、発覚から短い間に多数の企業や組織のみならず、組織内部の多数のコンピュータにも拡散するというケースが目立つ。セキュリティベンダーの解析から、WannaCry亜種などのマルウェアが概ね、以下の展開によるワーム的な動きによって拡散することが知られている。
- ネットワーク経由でポート445/TCPへの接続を試行
- WindowsのServer Message Block(SMB)の脆弱性を悪用
- 脆弱性悪用時に「EternalBlue」(悪用手法の名称)を実行
- 「EternalBlue」実行後にバックドア「DoublePulsar」を設置
- 「DoublePulsar」経由でマルウェア本体や関連ファイル、スクリプトなどをダウンロード
この展開は拡散先のコンピュータの状況によって一部異なるものの、特にポートが開いていたり、脆弱性が残されたりしているコンピュータでは感染の侵入口になる危険性が高い。JPCERT コーディネーションセンターによれば、組織の外部に持ち出されたPCをモバイル接続している場合や、リモートから管理する目的でサーバやPCにグローバルIPアドレスを割り当てられている場合に、被害に遭ったという報告が寄せられている。
日本サイバー犯罪対策センターは、グローバルIPアドレスが割り当てられる機器の例として、データ通信カードやUSBスティック型のモデム、SIM内蔵式のPC、サーバなどを挙げる。こうした機器では、グローバルIPアドレスが割り当てられることに気が付かないまま利用されている場合があるという。
こうした機器における被害を抑止する上でセキュリティ機関からは、以下の基本的なセキュリティ対策が推奨されている。
- ポート445/TCPが開放されていないかを確認し、できる限り閉じる
- Windows SMB v1の使用を中止する
- Microsoftのセキュリティ更新プログラム「MS17-010」を適用する
- Windowsやセキュリティソフト、アプリケーションを最新の状態に更新する
- パーソナルファイアウォールなどの設定を確認する
- ネットワーク上で拡散攻撃が疑われる通信を監視する
警察庁は6月22日、感染に気が付きにくい「WannaCry」亜種による不審な通信の増加への警戒を呼び掛け、上記の対策に加えて「PCをインターネット接続する際は、ルータなどを使用してNATを介して接続し、自宅などではルータを使用してインターネットに接続していても、モバイル回線を利用する場合には直接インターネットに接続される場合もあるので注意してほしい」と解説。またラックは、6月28日付の注意喚起の中で、「感染したPCを社内に持ち込んだ場合、そのPCの管理者権限が取られた場合の社内への影響範囲を把握すべき」とアドバイスしている。
企業や組織では、「働き方改革」の一環からオフィスの外でのモバイルワークや、自宅などでのテレワークなどを導入する動きが広まりつつあり、オフィスの外で使用する機器でのセキュリティ対策状況を再確認しておきたい。
