図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

Wanna Cryptorで見るランサムウェアの仕組み

投稿日:

2017年5月12日に世界中で大規模なサイバー攻撃が発生しました。多くのコンピュータがWanna Cryptorと言うランサムウェアに感染し、感染したコンピュータのファイルを暗号化されてシステムやサービスがダウンするといった事象が発生しています。ランサムウェアはここ数年頻繁に発生しており、企業もある程度十分な対策をとっていたはずですが、今回のランサムウェアも防ぐ事ができない企業が多いようです。Wanna CryptorはMS17-010のMicrosoft Windows SMB サーバーの脆弱性に対する修正プログラム(KB4013389)が適用されていないコンピュータに侵入して、他のランサムウェアと同様にある特定の拡張子を持つファイルのみ暗号化します。

ランサムウェアの仕組み

他のランサムウェアと違って注目されているところは、このランサムウェアが悪用している脆弱性を攻撃するコードの1つであるEternalBlueとリモートから実行する任意のコードのDoublepulsarが米国家安全保障局(NSA)から流出したという事です。NSAからこれらのコードを盗んだハッカー集団であるShadow Brokersが、これらのコードが闇市場で売れなかったためにインターネット上で公開したと言われており、公開された情報を基に誰かがWanna Cryptorを作成したと考えられています。

感染経路

多くの感染経路はメールの添付ファイルです。業務に関連したメールを装ってユーザに添付ファイルを開かせようとします。添付ファイルがexeなどの実行ファイルの場合、多くのメールシステムやセキュリティシステムが添付ファイル自体をブロックするルールを実装していますので、最近ではjava scriptやPDFの脆弱性を悪用するために.pdfや.jsなどの拡張子のファイルが多いです(とは言いつつも、添付されているファイルはランサムウェアによって違ってきます)。また、悪意のあるマクロを組み込んだWordやExcelが添付されている場合もあります。

通常であればメールシステムと連携しているウィルス対策ソフトが添付ファイルをスキャンしてトロイの木馬などのマルウェアであれば削除してくれますが、最新の攻撃手法であったり、java scriptやマクロなどのプログラムが難読化(Obfuscation)されている場合はウィルス対策ソフトではランサムウェアを検知する事が出来ない場合が多いです。

被害

ランサムウェアに感染すると、特定の拡張子のファイルが暗号化されます。暗号化されるという事はそのファイルを復号しなければユーザは利用する事ができません。例えば、業務で必要なPowerPointの資料やExcelの資料などが暗号化されて利用できなくなってしまいます。一方で、ランサムウェアはWindows OSを正常に起動させて、ユーザにビットコインを要求する画面とその指示を表示する必要があります。ですので、Windows OSを起動させるために必要なファイルは暗号化しません。

対策

対策に関しては感染前の対策と感染後の対策(対応)を説明します。まず感染しないための対策として以下の点が挙げられます。

  • 不審なメールは開かない。特に添付ファイルは開かない。
  • 最新のWindowsパッチを適用して、脆弱性の対策を行う。(Wanna Cryptorの場合はMS17-010、KB4013389を適用)
  • JavaやAdobeを最新のバージョンに更新する。
  • ウィルス対策ソフトの定義ファイルやエンジンを最新のものに更新する。

例えば、Wanna Cryptorが悪用している脆弱性はマイクロソフトのMS17-010(KB4013389)というセキュリティパッチを適用していれば、多くの条件でWanna Cryptorに感染する事はありません。MS17-010(KB4013389)は3月にリリースされたMicrosoft Server Message Block 1.0 (SMBv1) の脆弱性を解決するためのセキュリティパッチで、通常の企業であれば、その月の間に定期的なパッチ配信で適用されるはずですが、今回の被害状況を見ると、MS17-010(KB4013389)を適用していない会社は多いようです。

万が一ランサムウェアに感染して、ファイルが暗号化された場合の唯一の対策は以下の通りです。

  1. ウィルス対策ソフトでランサムウェア(トロイの木馬)を削除する。
  2. Windows、Java、Adobeなどのパッチを適用して最新の状態にする。
  3. 暗号化されたファイルを削除して、ファイルをバックアップから復元する(バックアップソフトが自動的に復元出来る場合は自動的に復元)。

ではバックアップを取っていない端末であればどうすれば良いのでしょうか?答えは1つしかありません。それはあきらめる事です。もしかすると、ランサムウェアの攻撃者にビットコインを払って、復号ソフトとキーを取得して暗号化されたファイルを復号できる場合があります。しかし復号できるかは補償できません。それよりも大切な事として、サイバー攻撃者にビットコインを支払う事は多くの場合コンプライアンス違反となります。これは反社会的団体との金銭のやり取りが禁止されているからです。ビットコインを支払う事は反社会的団体に対して資金を提供する事になります。ですので、いくら大切なデータが暗号化されたとしても、復号するためにビットコインを支払ってはいけません。

広告

広告

-図解サイバーセキュリティ用語

関連記事

キーロガーとは 図解サイバーセキュリティ用語

キーロガー(keylogger)とはパソコン等のキーボードの入力を監視してそれを記録するソフトウェアの事を言います。キーロガーによって記録された情報からユーザが何をタイプしたのかがわかります。つまり、 …

DNSリフレクション攻撃(DNSアンプ攻撃) 図解サイバーセキュリティ用語

DNSリフレクション攻撃もしくはDNSアンプ攻撃はDoS・DDoSの一種で、DNSの2つの特性を悪用した攻撃です。まず一つ目はDNSサーバは問い合わせに対して必ず回答を行う事(リフレクション)。もう一 …

短縮URLとセキュリティ問題

短縮URLとはオリジナルのURLにリダイレクトするように設定された文字数が短いURLの事を言います。例えば、https://www.cyber-attack.net/cyber-security-di …

スパムメールの由来・語源とは?

スパムメールとは、宣伝目的のメールを無差別かつ大量に送信されるメールの事を言います。スパムメールは皆さんの個人のメールにも会社のメールにも送信されており、世界で送信されているメールの70%ほどがスパム …

SIEM(Security Information and Event Management)とは? 図解サイバーセキュリティ用語

SIEMとはSecurity Information and Event Managementの略で「シーム」と読み、様々なシステムで生成されるログを集約して一元管理し、それらのログを分析することで不 …