図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

Wanna Cryptorで見るランサムウェアの仕組み

投稿日:

2017年5月12日に世界中で大規模なサイバー攻撃が発生しました。多くのコンピュータがWanna Cryptorと言うランサムウェアに感染し、感染したコンピュータのファイルを暗号化されてシステムやサービスがダウンするといった事象が発生しています。ランサムウェアはここ数年頻繁に発生しており、企業もある程度十分な対策をとっていたはずですが、今回のランサムウェアも防ぐ事ができない企業が多いようです。Wanna CryptorはMS17-010のMicrosoft Windows SMB サーバーの脆弱性に対する修正プログラム(KB4013389)が適用されていないコンピュータに侵入して、他のランサムウェアと同様にある特定の拡張子を持つファイルのみ暗号化します。

ランサムウェアの仕組み

他のランサムウェアと違って注目されているところは、このランサムウェアが悪用している脆弱性を攻撃するコードの1つであるEternalBlueとリモートから実行する任意のコードのDoublepulsarが米国家安全保障局(NSA)から流出したという事です。NSAからこれらのコードを盗んだハッカー集団であるShadow Brokersが、これらのコードが闇市場で売れなかったためにインターネット上で公開したと言われており、公開された情報を基に誰かがWanna Cryptorを作成したと考えられています。

感染経路

多くの感染経路はメールの添付ファイルです。業務に関連したメールを装ってユーザに添付ファイルを開かせようとします。添付ファイルがexeなどの実行ファイルの場合、多くのメールシステムやセキュリティシステムが添付ファイル自体をブロックするルールを実装していますので、最近ではjava scriptやPDFの脆弱性を悪用するために.pdfや.jsなどの拡張子のファイルが多いです(とは言いつつも、添付されているファイルはランサムウェアによって違ってきます)。また、悪意のあるマクロを組み込んだWordやExcelが添付されている場合もあります。

通常であればメールシステムと連携しているウィルス対策ソフトが添付ファイルをスキャンしてトロイの木馬などのマルウェアであれば削除してくれますが、最新の攻撃手法であったり、java scriptやマクロなどのプログラムが難読化(Obfuscation)されている場合はウィルス対策ソフトではランサムウェアを検知する事が出来ない場合が多いです。

被害

ランサムウェアに感染すると、特定の拡張子のファイルが暗号化されます。暗号化されるという事はそのファイルを復号しなければユーザは利用する事ができません。例えば、業務で必要なPowerPointの資料やExcelの資料などが暗号化されて利用できなくなってしまいます。一方で、ランサムウェアはWindows OSを正常に起動させて、ユーザにビットコインを要求する画面とその指示を表示する必要があります。ですので、Windows OSを起動させるために必要なファイルは暗号化しません。

対策

対策に関しては感染前の対策と感染後の対策(対応)を説明します。まず感染しないための対策として以下の点が挙げられます。

  • 不審なメールは開かない。特に添付ファイルは開かない。
  • 最新のWindowsパッチを適用して、脆弱性の対策を行う。(Wanna Cryptorの場合はMS17-010、KB4013389を適用)
  • JavaやAdobeを最新のバージョンに更新する。
  • ウィルス対策ソフトの定義ファイルやエンジンを最新のものに更新する。

例えば、Wanna Cryptorが悪用している脆弱性はマイクロソフトのMS17-010(KB4013389)というセキュリティパッチを適用していれば、多くの条件でWanna Cryptorに感染する事はありません。MS17-010(KB4013389)は3月にリリースされたMicrosoft Server Message Block 1.0 (SMBv1) の脆弱性を解決するためのセキュリティパッチで、通常の企業であれば、その月の間に定期的なパッチ配信で適用されるはずですが、今回の被害状況を見ると、MS17-010(KB4013389)を適用していない会社は多いようです。

万が一ランサムウェアに感染して、ファイルが暗号化された場合の唯一の対策は以下の通りです。

  1. ウィルス対策ソフトでランサムウェア(トロイの木馬)を削除する。
  2. Windows、Java、Adobeなどのパッチを適用して最新の状態にする。
  3. 暗号化されたファイルを削除して、ファイルをバックアップから復元する(バックアップソフトが自動的に復元出来る場合は自動的に復元)。

ではバックアップを取っていない端末であればどうすれば良いのでしょうか?答えは1つしかありません。それはあきらめる事です。もしかすると、ランサムウェアの攻撃者にビットコインを払って、復号ソフトとキーを取得して暗号化されたファイルを復号できる場合があります。しかし復号できるかは補償できません。それよりも大切な事として、サイバー攻撃者にビットコインを支払う事は多くの場合コンプライアンス違反となります。これは反社会的団体との金銭のやり取りが禁止されているからです。ビットコインを支払う事は反社会的団体に対して資金を提供する事になります。ですので、いくら大切なデータが暗号化されたとしても、復号するためにビットコインを支払ってはいけません。

広告

広告

-図解サイバーセキュリティ用語

関連記事

SYN Flood:TCP接続の3ウェイハンドシェークのSYNパケットを偽装

SYN FloodはDoS攻撃の1つです。この攻撃はTCP接続の3ウェイハンドシェークの最初のSYNパケットを偽装することで始まります。どのように偽装するかというと、SYNパケットの送信元IPを攻撃者 …

UTM(Unified Threat Managemen)とは 図解サイバーセキュリティ用語

UTMとは複数のセキュリティ対策を1つのアプライアンスに集約することで、総合的にかつ統合的にセキュリティ対策を行うコンセプトの事を言います。もしくはそのようなアプライアンスの事を指します。 UTMに集 …

no image

メルトダウンとスペクター、CPUの脆弱性

インテル系のCPUに脆弱性が見つかりました。それらはメルトダウンとスペクターと名付けられています。メルトダウンとスペクターの脆弱性は、アプリケーションが他のアプリケーションで利用しているメモリ領域を読 …

DNSキャッシュポイズニング 図解サイバーセキュリティ用語

DNSキャッシュポイズニングとはDNSサーバのキャッシュ情報に不正なIPとそのホスト名を挿入することによって、ユーザを不正なホスト名を持つウェブサイトに誘導する攻撃を指します。最終的な目的は、その誘導 …

SQLインジェクション攻撃とは

SQLインジェクション(SQL Injection)とは、アプリケーション(特にWebアプリケーション)がユーザ等からの入力値を適切にエスケープしないままその入力値をSQLコマンドとして実行する事で、 …