セキュリティ 事例

 

ランサムウェアの脅威!大きな被害をもたらしたWannaCryとは?

WannaCry

2017年に世界規模の被害が発生したランサムウェア「WannaCry」をご存知でしょうか。個人や企業のみにとどまらず、欧州では病院が閉鎖する事態を招きました。日本でも大手製作所や鉄道会社の被害が報告されています。

このページでは、WannaCryの被害となぜそこまでの規模に広がったのか、そこから学べる対策についてご紹介していきます。

WannaCryとは

WannaCryとは、最初の感染発覚からわずか数日で、世界150か国以上に、30万台を越えるPCで被害が確認されました。「史上最大のランサムウェア攻撃」と言われ、被害は政府機関や公共機関にも及び、世界的な混乱が発生しました。

WannaCry感染拡大の要因

WannaCryは、身代金要求プログラムとも呼ばれるランサムウェアの一種です。一般的なランサムウェアは、ウイルスの仕組まれたWebサイトやメールアドレスを介してPCに入り込みます。こうした身代金を要求するランサムウェアは、1回の攻撃で1台のコンピューターが被害に遭うケースがほとんどです。

ところが、WannaCryはランサムウェアに「ワーム」と呼ばれる手法が組み合わされていました。ワームは自身を自動的に複製して、ネットワークで繋がったほかのPCに侵入・感染拡大するプログラムです。そのため、1台の感染にとどまらず、社内ネットワークで繋がっている全てのPCが被害を受ける結果になったのです。

また、WannaCryの被害拡大は、Microsoft社のWindowsの脆弱性を狙ったことも要因のひとつでした。脆弱性はOSやソフトウェアのセキュリティ上の欠陥です。その欠陥を狙うことで、Webサイトへのアクセスやメールの開封、URLのクリックといったユーザーのアクションがなくても感染被害が広がりました。

WannaCryの被害

サイバー攻撃

WannaCryに感染すると、PCに保存されているファイルが暗号化されて利用できない状態になります。そして、デスクトップ画面には、ファイルを復元してほしければ身代金(仮想通貨)を支払うように指示する文章が表示されます。

実際に2017年5月25日時点で、日本円にして約1,400万円の振込が確認されましたが、暗号化の解除、復元は行われませんでした。こうした被害について、海外と国内のどのような業種で発生したのか、被害の特徴を確認してみましょう。

WannaCryの海外での被害

イギリス

イギリスでは国民保険サービスが攻撃を受け、約40箇所の医療施設でシステムが使えなくなる被害が発生しました。患者の情報にアクセスできないことで、手術ができない、診察ができないといった混乱を招きました。感染が発覚した多くの病院で、サポートの終了していたWindowsXPの使用が確認されています。

ドイツ

鉄道会社のPCが感染し、いくつかの駅で発着時刻を表示する電光掲示板の利用ができなくなりました。被害は電光掲示板の表示ができないことだけで、運行に直接的な被害は確認されていません。

中国

国営のガソリンスタンド、約2万店で電子決済が利用できなくなる障害が発生しました。感染当時は現金払いにて、対応されています。

WannaCryの国内での被害

鉄道会社

インターネット閲覧に使用していたPC1台が感染。イントラネット(社内ネットワーク)には接続されていなかったため、通常業務への影響は発生しませんでした。

製造業

一部の工場で、感染により生産停止を余儀なくされる被害が確認されています。ほかにも、メール管理システムの一部で障害が発生したためサーバーを切り離し、電話やFAXでやり取りするといった対応が取られました。

上下水道局

庁内ネットワークから切り離されたPC1台で感染が発覚。週末は電源をオフにしており、担当者が週明けに起動したところ感染が確認されました。感染したPCを交換する対応が取られ、業務に影響はなかったと報告されました。

コンビニ

防犯カメラの管理端末が感染。インターネットには繋がっていましたが、Webサイトの閲覧やメールの送受信は感染した端末では行われていませんでした。

WannaCry感染の経緯

WannaCryの被害は事前に防ぐことができたと言われています。実はWannaCryが攻撃目標とした脆弱性については危険な兆候があり、アップデートは事前にリリースされていました。感染の経緯について時系列は次のような流れであったと報告されています。

2016年9月

Microsoft Server Message Block バージョン1(SMBv1)に脆弱性があると公表されました。公表から2日後、MicrosoftはSMBv1の使用を中止するメッセージとともに、無効化の方法をブログ記事に記載しています。

2017年2月

韓国でランサムウェア攻撃が発生。約100台のPCが被害を受けました。当時は攻撃手段がそれほど高度なものではなく、限られた範囲の被害だったため、それほど大きく報じられることはなかったようです。

2017年3月

MicrosoftはSMBv1の脆弱性を解決する更新をリリース。脆弱性が悪用されると遠隔操作により不正なコードが実行される可能性があり、その問題解決のための修正でした。提供されたOSはWindows10からXP、VistaなどほとんどのWindowsOSが対象となっています。

2017年5月

アジアで最初のWannaCry感染が発覚。わずか24時間で150か国以上、30万台を超える大規模な被害に発展しました。海外のセキュリティ企業がWannaCryを分析中に無効化措置を偶然発見し、被害は収束しています。

WannaCry発生の経験から見える課題

感染の経緯を確認すると、脆弱性に対する対策は事前に発表されています。つまり、予想できない新しい脅威ではなかったのです。こうした問題が指摘されているにも関わらず、対策が十分にされていない脆弱性は「ゼロデイ脆弱性」と呼ばれます。問題がわかっているため、サイバー攻撃をする側としては格好の的と言えるでしょう。

また、以前まではゼロデイ脆弱性があったとしてもインターネットに繋がれていないクローズド環境ならばリスクは低いと考えられていました。ですが、WannaCryはクローズド環境においても被害が報告されています。そうした被害から、次のような課題が考えられるのではないでしょうか。

作業者の課題

アップデートには時間がかかる場合もあるため、後回しにしている方もいらっしゃるのではないでしょうか。Windows Updateのような更新プログラムは脆弱性を解決し、脅威からPCを守るために必要な作業です。また、セキュリティポリシーの軽視や引き継ぎミスによってもセキュリティの穴は発生します。

一人ひとりが、社内規定や組織全体のセキュリティポリシーの重要性を理解して、システムを最新の状態に保つ意識が大切です。

管理者の課題

WannaCryのように事前に把握していても、対応がされていないことで被害が拡大するリスクは常に存在しています。更新プログラムがあれば、作業者に周知して適用させるのはもちろん、どこまで適用されているのかパッチマネジメントを行うようにしましょう。部署ごとに作業PCの一覧表を作り、アップデートの完了について管理しても良いでしょう。

ほかにもクローズド環境が低リスクという考えは危険です。WannaCryは普段インターネットに繋がっていないクローズド環境でも、被害が確認されています。何らかの事情により、サポートの終了したOS環境を使っているのであれば、必要に応じてシステムを停止するプロセスを決めるなど対策を施しましょう。

WannaCryの感染を防ぐ対策

セキュリティ対策

WannaCryのようなランサムウェアの対策では脆弱性を修正するために、更新プログラムを随時適用することで被害を防ぐことができます。しかしながら、2017年の被害を考えると、各PCの更新状況の管理を完璧に行うことは難しいでしょう。企業としては、管理はもちろん、戦略的にシステムを保守するセキュリティ対策を実施することが重要です。

定期的なバックアップ

例えば、バックアップの運用が考えられます。ランサムウェアはファイルを暗号化することで、使用不可にするプログラムです。バックアップが残っていれば、一部のデータは削除されますが復旧することは可能です。

脅威を遮断するセキュリティソフトの運用

セキュリティ対策として、多層防御のセキュリティソフトの導入を検討してはいかがでしょうか。従来のセキュリティソフトの多くは「検知」を重視し、マルウェアの侵入を防いでいました。しかしながら、万が一侵入された場合に、再検知ができず対応ができなかったのです。

そのため最近では、検知はもちろんのことプログラムの起動後も不正な動作を防ぐ、継続監視のセキュリティソフトが登場しています。起動前・起動後の二段階で脅威を阻止できるため、従来のセキュリティソフトよりもリスク軽減に役立てることができるでしょう。

WannaCryを教訓とし、新たな脅威に備える

WannaCryの被害は世界規模に及びましたが、そのリスクは事前に警告されているものでした。セキュリティ担当者が情報を集め、最新のOS環境を整えることができていたのなら、被害は限定的なものになったはずです。いつ新しいタイプのランサムウェアが流行するかは誰にもわかりません。WannaCryの被害を教訓とし、「自社のOS環境を常に最新の状態にする」「バックアップを取る」「セキュリティソフトを導入する」などの対策を行うことが非常に重要です。

侵入されても、発症させない。
ゼロトラスト型エンドポイントセキュリティ「AppGuard」

詳しくは下記からご覧いただけます
この記事を読んだ方に
おすすめのお役立ち資料はこちら↓
これだけは押さえたい!<br>最恐マルウェア「Emotet(エモテット)」の対処方法

2019年10月頃から猛威を振るっているマルウェア「Emotet」。 詳しい対策方法を、一冊にまとめてお届けします。

これだけは押さえたい!
最恐マルウェア「Emotet(エモテット)」の対処方法

ダウンロードページへ
中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
大興電子通信に入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
大興電子通信株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ 事例

    コンフィグレーションってなに?ファイルの種類など基礎知識を解説

    IT業界での経験が浅いと、コンフィグレーションという言葉になじみが…

  2. セキュリティ

    Windowsで重大な2つの脆弱性が発覚。標的型攻撃を回避する方法とは?

    ユーザー数の多さゆえに、サイバー攻撃者との ”いたちごっこ” が続…

  3. 最新の被害事例をご紹介!2022年情報セキュリティ10大脅威まとめ

    セキュリティ 事例

    最新の被害事例をご紹介!2024年情報セキュリティ10大脅威まとめ

    昨今、情報セキュリティに関する脅威が巧妙化しており、企業の情報シス…

  4. セキュリティ

    【マルウェア全防御は不可能】多層防御の弱点と新しいセキュリティ対策を解説

    セキュリティ対策において多層防御は巧妙化するサイバー攻撃への対策と…

  5. セキュリティ

    2020年、「ウイルス・マルウェア対策ソフトを利用したサイバー攻撃」も。
    対策方法は?

    マルウェアによる攻撃など、サイバー攻撃が活発化している2020年。…

お役立ち資料一覧 生産管理部門様向けホワイトペーパー 製造原価管理入門書 収益改善を図るための4つの具体的な施策と効率化に向けた改善ステップ 製造業のDX推進ガイドブック 生産管理システムによる製造業の課題解決事例集 収益改善を図るための4つの具体的な施策と効率化に向けた改善ステップ 納期遵守を実現する仕組みとは 購買・調達業務効率化」 完全ガイド~購買管理システムのベストプラクティス~ 購買管理部門様向けホワイトペーパー 購買管理のマネジメント力強化ガイドブック 購買・調達部門に贈る、コスト削減に効く3つのTIPS 購買管理システム導入による課題改善事例集 コスト削減のカギは 「集中購買」にあり! 購買管理システム導入による課題改善事例集 10分でわかるAppGuard:仕組み、セキュリティの「新概念」 セキュリティ担当者様向けホワイトペーパー サイバーセキュリティ基本まるごと解説入門 組織の情報セキュリティを強くするための対策のポイント エンドポイントセキュリティ更新時に知りたい基本の「き」 巧妙化し続けるサイバー攻撃&被害事例、セキュリティトラブルを防ぐ、最もシンプルな3つの対策 ランサムウェア対策は充分ですか?最低限知っておきたい知識と対策 「新型脅威への対処」「運用コスト削減」を両立する。セキュリティ防御構造の理想型とは? 経理業務を次のステージへ!DX導入で生まれ変わる財務会計 ペーパーレス化で給与明細書作成の負担を軽減 導入事例付き】給与明細 / 年末調整の工数・コストを削減。i-Compassとは