2017年に世界規模の被害が発生したランサムウェア「WannaCry」をご存知でしょうか。個人や企業のみにとどまらず、欧州では病院が閉鎖する事態を招きました。日本でも大手製作所や鉄道会社の被害が報告されています。
このページでは、WannaCryの被害となぜそこまでの規模に広がったのか、そこから学べる対策についてご紹介していきます。
ページコンテンツ
WannaCryとは
WannaCryとは、最初の感染発覚からわずか数日で、世界150か国以上に、30万台を越えるPCで被害が確認されました。「史上最大のランサムウェア攻撃」と言われ、被害は政府機関や公共機関にも及び、世界的な混乱が発生しました。
WannaCry感染拡大の要因
WannaCryは、身代金要求プログラムとも呼ばれるランサムウェアの一種です。一般的なランサムウェアは、ウイルスの仕組まれたWebサイトやメールアドレスを介してPCに入り込みます。こうした身代金を要求するランサムウェアは、1回の攻撃で1台のコンピューターが被害に遭うケースがほとんどです。
ところが、WannaCryはランサムウェアに「ワーム」と呼ばれる手法が組み合わされていました。ワームは自身を自動的に複製して、ネットワークで繋がったほかのPCに侵入・感染拡大するプログラムです。そのため、1台の感染にとどまらず、社内ネットワークで繋がっている全てのPCが被害を受ける結果になったのです。
また、WannaCryの被害拡大は、Microsoft社のWindowsの脆弱性を狙ったことも要因のひとつでした。脆弱性はOSやソフトウェアのセキュリティ上の欠陥です。その欠陥を狙うことで、Webサイトへのアクセスやメールの開封、URLのクリックといったユーザーのアクションがなくても感染被害が広がりました。
WannaCryの被害
WannaCryに感染すると、PCに保存されているファイルが暗号化されて利用できない状態になります。そして、デスクトップ画面には、ファイルを復元してほしければ身代金(仮想通貨)を支払うように指示する文章が表示されます。
実際に2017年5月25日時点で、日本円にして約1,400万円の振込が確認されましたが、暗号化の解除、復元は行われませんでした。こうした被害について、海外と国内のどのような業種で発生したのか、被害の特徴を確認してみましょう。
WannaCryの海外での被害
イギリス
イギリスでは国民保険サービスが攻撃を受け、約40箇所の医療施設でシステムが使えなくなる被害が発生しました。患者の情報にアクセスできないことで、手術ができない、診察ができないといった混乱を招きました。感染が発覚した多くの病院で、サポートの終了していたWindowsXPの使用が確認されています。
ドイツ
鉄道会社のPCが感染し、いくつかの駅で発着時刻を表示する電光掲示板の利用ができなくなりました。被害は電光掲示板の表示ができないことだけで、運行に直接的な被害は確認されていません。
中国
国営のガソリンスタンド、約2万店で電子決済が利用できなくなる障害が発生しました。感染当時は現金払いにて、対応されています。
WannaCryの国内での被害
鉄道会社
インターネット閲覧に使用していたPC1台が感染。イントラネット(社内ネットワーク)には接続されていなかったため、通常業務への影響は発生しませんでした。
製造業
一部の工場で、感染により生産停止を余儀なくされる被害が確認されています。ほかにも、メール管理システムの一部で障害が発生したためサーバーを切り離し、電話やFAXでやり取りするといった対応が取られました。
上下水道局
庁内ネットワークから切り離されたPC1台で感染が発覚。週末は電源をオフにしており、担当者が週明けに起動したところ感染が確認されました。感染したPCを交換する対応が取られ、業務に影響はなかったと報告されました。
コンビニ
防犯カメラの管理端末が感染。インターネットには繋がっていましたが、Webサイトの閲覧やメールの送受信は感染した端末では行われていませんでした。
WannaCry感染の経緯
WannaCryの被害は事前に防ぐことができたと言われています。実はWannaCryが攻撃目標とした脆弱性については危険な兆候があり、アップデートは事前にリリースされていました。感染の経緯について時系列は次のような流れであったと報告されています。
2016年9月
Microsoft Server Message Block バージョン1(SMBv1)に脆弱性があると公表されました。公表から2日後、MicrosoftはSMBv1の使用を中止するメッセージとともに、無効化の方法をブログ記事に記載しています。
2017年2月
韓国でランサムウェア攻撃が発生。約100台のPCが被害を受けました。当時は攻撃手段がそれほど高度なものではなく、限られた範囲の被害だったため、それほど大きく報じられることはなかったようです。
2017年3月
MicrosoftはSMBv1の脆弱性を解決する更新をリリース。脆弱性が悪用されると遠隔操作により不正なコードが実行される可能性があり、その問題解決のための修正でした。提供されたOSはWindows10からXP、VistaなどほとんどのWindowsOSが対象となっています。
2017年5月
アジアで最初のWannaCry感染が発覚。わずか24時間で150か国以上、30万台を超える大規模な被害に発展しました。海外のセキュリティ企業がWannaCryを分析中に無効化措置を偶然発見し、被害は収束しています。
WannaCry発生の経験から見える課題
感染の経緯を確認すると、脆弱性に対する対策は事前に発表されています。つまり、予想できない新しい脅威ではなかったのです。こうした問題が指摘されているにも関わらず、対策が十分にされていない脆弱性は「ゼロデイ脆弱性」と呼ばれます。問題がわかっているため、サイバー攻撃をする側としては格好の的と言えるでしょう。
また、以前まではゼロデイ脆弱性があったとしてもインターネットに繋がれていないクローズド環境ならばリスクは低いと考えられていました。ですが、WannaCryはクローズド環境においても被害が報告されています。そうした被害から、次のような課題が考えられるのではないでしょうか。
作業者の課題
アップデートには時間がかかる場合もあるため、後回しにしている方もいらっしゃるのではないでしょうか。Windows Updateのような更新プログラムは脆弱性を解決し、脅威からPCを守るために必要な作業です。また、セキュリティポリシーの軽視や引き継ぎミスによってもセキュリティの穴は発生します。
一人ひとりが、社内規定や組織全体のセキュリティポリシーの重要性を理解して、システムを最新の状態に保つ意識が大切です。
管理者の課題
WannaCryのように事前に把握していても、対応がされていないことで被害が拡大するリスクは常に存在しています。更新プログラムがあれば、作業者に周知して適用させるのはもちろん、どこまで適用されているのかパッチマネジメントを行うようにしましょう。部署ごとに作業PCの一覧表を作り、アップデートの完了について管理しても良いでしょう。
ほかにもクローズド環境が低リスクという考えは危険です。WannaCryは普段インターネットに繋がっていないクローズド環境でも、被害が確認されています。何らかの事情により、サポートの終了したOS環境を使っているのであれば、必要に応じてシステムを停止するプロセスを決めるなど対策を施しましょう。
WannaCryの感染を防ぐ対策
WannaCryのようなランサムウェアの対策では脆弱性を修正するために、更新プログラムを随時適用することで被害を防ぐことができます。しかしながら、2017年の被害を考えると、各PCの更新状況の管理を完璧に行うことは難しいでしょう。企業としては、管理はもちろん、戦略的にシステムを保守するセキュリティ対策を実施することが重要です。
定期的なバックアップ
例えば、バックアップの運用が考えられます。ランサムウェアはファイルを暗号化することで、使用不可にするプログラムです。バックアップが残っていれば、一部のデータは削除されますが復旧することは可能です。
脅威を遮断するセキュリティソフトの運用
セキュリティ対策として、多層防御のセキュリティソフトの導入を検討してはいかがでしょうか。従来のセキュリティソフトの多くは「検知」を重視し、マルウェアの侵入を防いでいました。しかしながら、万が一侵入された場合に、再検知ができず対応ができなかったのです。
そのため最近では、検知はもちろんのことプログラムの起動後も不正な動作を防ぐ、継続監視のセキュリティソフトが登場しています。起動前・起動後の二段階で脅威を阻止できるため、従来のセキュリティソフトよりもリスク軽減に役立てることができるでしょう。
WannaCryを教訓とし、新たな脅威に備える
WannaCryの被害は世界規模に及びましたが、そのリスクは事前に警告されているものでした。セキュリティ担当者が情報を集め、最新のOS環境を整えることができていたのなら、被害は限定的なものになったはずです。いつ新しいタイプのランサムウェアが流行するかは誰にもわかりません。WannaCryの被害を教訓とし、「自社のOS環境を常に最新の状態にする」「バックアップを取る」「セキュリティソフトを導入する」などの対策を行うことが非常に重要です。