図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

Wanna Cryptorで見るランサムウェアの仕組み

投稿日:

2017年5月12日に世界中で大規模なサイバー攻撃が発生しました。多くのコンピュータがWanna Cryptorと言うランサムウェアに感染し、感染したコンピュータのファイルを暗号化されてシステムやサービスがダウンするといった事象が発生しています。ランサムウェアはここ数年頻繁に発生しており、企業もある程度十分な対策をとっていたはずですが、今回のランサムウェアも防ぐ事ができない企業が多いようです。Wanna CryptorはMS17-010のMicrosoft Windows SMB サーバーの脆弱性に対する修正プログラム(KB4013389)が適用されていないコンピュータに侵入して、他のランサムウェアと同様にある特定の拡張子を持つファイルのみ暗号化します。

ランサムウェアの仕組み

他のランサムウェアと違って注目されているところは、このランサムウェアが悪用している脆弱性を攻撃するコードの1つであるEternalBlueとリモートから実行する任意のコードのDoublepulsarが米国家安全保障局(NSA)から流出したという事です。NSAからこれらのコードを盗んだハッカー集団であるShadow Brokersが、これらのコードが闇市場で売れなかったためにインターネット上で公開したと言われており、公開された情報を基に誰かがWanna Cryptorを作成したと考えられています。

感染経路

多くの感染経路はメールの添付ファイルです。業務に関連したメールを装ってユーザに添付ファイルを開かせようとします。添付ファイルがexeなどの実行ファイルの場合、多くのメールシステムやセキュリティシステムが添付ファイル自体をブロックするルールを実装していますので、最近ではjava scriptやPDFの脆弱性を悪用するために.pdfや.jsなどの拡張子のファイルが多いです(とは言いつつも、添付されているファイルはランサムウェアによって違ってきます)。また、悪意のあるマクロを組み込んだWordやExcelが添付されている場合もあります。

通常であればメールシステムと連携しているウィルス対策ソフトが添付ファイルをスキャンしてトロイの木馬などのマルウェアであれば削除してくれますが、最新の攻撃手法であったり、java scriptやマクロなどのプログラムが難読化(Obfuscation)されている場合はウィルス対策ソフトではランサムウェアを検知する事が出来ない場合が多いです。

被害

ランサムウェアに感染すると、特定の拡張子のファイルが暗号化されます。暗号化されるという事はそのファイルを復号しなければユーザは利用する事ができません。例えば、業務で必要なPowerPointの資料やExcelの資料などが暗号化されて利用できなくなってしまいます。一方で、ランサムウェアはWindows OSを正常に起動させて、ユーザにビットコインを要求する画面とその指示を表示する必要があります。ですので、Windows OSを起動させるために必要なファイルは暗号化しません。

対策

対策に関しては感染前の対策と感染後の対策(対応)を説明します。まず感染しないための対策として以下の点が挙げられます。

  • 不審なメールは開かない。特に添付ファイルは開かない。
  • 最新のWindowsパッチを適用して、脆弱性の対策を行う。(Wanna Cryptorの場合はMS17-010、KB4013389を適用)
  • JavaやAdobeを最新のバージョンに更新する。
  • ウィルス対策ソフトの定義ファイルやエンジンを最新のものに更新する。

例えば、Wanna Cryptorが悪用している脆弱性はマイクロソフトのMS17-010(KB4013389)というセキュリティパッチを適用していれば、多くの条件でWanna Cryptorに感染する事はありません。MS17-010(KB4013389)は3月にリリースされたMicrosoft Server Message Block 1.0 (SMBv1) の脆弱性を解決するためのセキュリティパッチで、通常の企業であれば、その月の間に定期的なパッチ配信で適用されるはずですが、今回の被害状況を見ると、MS17-010(KB4013389)を適用していない会社は多いようです。

万が一ランサムウェアに感染して、ファイルが暗号化された場合の唯一の対策は以下の通りです。

  1. ウィルス対策ソフトでランサムウェア(トロイの木馬)を削除する。
  2. Windows、Java、Adobeなどのパッチを適用して最新の状態にする。
  3. 暗号化されたファイルを削除して、ファイルをバックアップから復元する(バックアップソフトが自動的に復元出来る場合は自動的に復元)。

ではバックアップを取っていない端末であればどうすれば良いのでしょうか?答えは1つしかありません。それはあきらめる事です。もしかすると、ランサムウェアの攻撃者にビットコインを払って、復号ソフトとキーを取得して暗号化されたファイルを復号できる場合があります。しかし復号できるかは補償できません。それよりも大切な事として、サイバー攻撃者にビットコインを支払う事は多くの場合コンプライアンス違反となります。これは反社会的団体との金銭のやり取りが禁止されているからです。ビットコインを支払う事は反社会的団体に対して資金を提供する事になります。ですので、いくら大切なデータが暗号化されたとしても、復号するためにビットコインを支払ってはいけません。

広告

広告

-図解サイバーセキュリティ用語

関連記事

リスクの保有・低減・回避・移転

リスクとは被害を被る可能性の事です。ITではリスクは脆弱性・脅威・情報資産の3つの組み合わせによって表現する事ができ、その発生頻度や影響度によってリスクに対する対策が変わってきます。リスク対策として4 …

CDoSとは 中国発信のDoS攻撃 図解サイバーセキュリティ用語

CDoSとはChina DoSの略で、中国からのDoS攻撃の事を指します。この言葉が作られた理由は単純に中国からのDoS攻撃が多いからです。これは対日本に限ったわけではなくアメリカや東南アジア、欧州に …

コンテンツフィルタリングとは?

コンテンツフィルタリングとは、主にWebサイト・Webページの内容を監視して、あらかじめ設定された条件を基にWebサイトの閲覧を許可・禁止するシステムの事を言います。コンテンツフィルタリングはWebコ …

クリアデスクとクリアスクリーンとは?ISMSとプライバシーマークに必須

クリアデスクとは クリアデスクとは、オフィスなどの不特定多数の人がいる所ではデスクから離席する際にデスク上に業務に関する書類を放置せずにキャビネットなど鍵のかかった場所に保管する方針の事を言います。英 …

Stuxnet(スタックスネット)とは 制御システムを狙った初のマルウェア 図解サイバーセキュリティ用語

Stuxnet(スタックスネット)とは制御システムを狙った初のマルウェアと言われています。20010年9月ごろにイランのナタンスにある核燃料施設のウラン濃縮用遠心分離機に誤作動を起こさせ、約8400台 …