図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

Wanna Cryptorで見るランサムウェアの仕組み

投稿日:

2017年5月12日に世界中で大規模なサイバー攻撃が発生しました。多くのコンピュータがWanna Cryptorと言うランサムウェアに感染し、感染したコンピュータのファイルを暗号化されてシステムやサービスがダウンするといった事象が発生しています。ランサムウェアはここ数年頻繁に発生しており、企業もある程度十分な対策をとっていたはずですが、今回のランサムウェアも防ぐ事ができない企業が多いようです。Wanna CryptorはMS17-010のMicrosoft Windows SMB サーバーの脆弱性に対する修正プログラム(KB4013389)が適用されていないコンピュータに侵入して、他のランサムウェアと同様にある特定の拡張子を持つファイルのみ暗号化します。

ランサムウェアの仕組み

他のランサムウェアと違って注目されているところは、このランサムウェアが悪用している脆弱性を攻撃するコードの1つであるEternalBlueとリモートから実行する任意のコードのDoublepulsarが米国家安全保障局(NSA)から流出したという事です。NSAからこれらのコードを盗んだハッカー集団であるShadow Brokersが、これらのコードが闇市場で売れなかったためにインターネット上で公開したと言われており、公開された情報を基に誰かがWanna Cryptorを作成したと考えられています。

感染経路

多くの感染経路はメールの添付ファイルです。業務に関連したメールを装ってユーザに添付ファイルを開かせようとします。添付ファイルがexeなどの実行ファイルの場合、多くのメールシステムやセキュリティシステムが添付ファイル自体をブロックするルールを実装していますので、最近ではjava scriptやPDFの脆弱性を悪用するために.pdfや.jsなどの拡張子のファイルが多いです(とは言いつつも、添付されているファイルはランサムウェアによって違ってきます)。また、悪意のあるマクロを組み込んだWordやExcelが添付されている場合もあります。

通常であればメールシステムと連携しているウィルス対策ソフトが添付ファイルをスキャンしてトロイの木馬などのマルウェアであれば削除してくれますが、最新の攻撃手法であったり、java scriptやマクロなどのプログラムが難読化(Obfuscation)されている場合はウィルス対策ソフトではランサムウェアを検知する事が出来ない場合が多いです。

被害

ランサムウェアに感染すると、特定の拡張子のファイルが暗号化されます。暗号化されるという事はそのファイルを復号しなければユーザは利用する事ができません。例えば、業務で必要なPowerPointの資料やExcelの資料などが暗号化されて利用できなくなってしまいます。一方で、ランサムウェアはWindows OSを正常に起動させて、ユーザにビットコインを要求する画面とその指示を表示する必要があります。ですので、Windows OSを起動させるために必要なファイルは暗号化しません。

対策

対策に関しては感染前の対策と感染後の対策(対応)を説明します。まず感染しないための対策として以下の点が挙げられます。

  • 不審なメールは開かない。特に添付ファイルは開かない。
  • 最新のWindowsパッチを適用して、脆弱性の対策を行う。(Wanna Cryptorの場合はMS17-010、KB4013389を適用)
  • JavaやAdobeを最新のバージョンに更新する。
  • ウィルス対策ソフトの定義ファイルやエンジンを最新のものに更新する。

例えば、Wanna Cryptorが悪用している脆弱性はマイクロソフトのMS17-010(KB4013389)というセキュリティパッチを適用していれば、多くの条件でWanna Cryptorに感染する事はありません。MS17-010(KB4013389)は3月にリリースされたMicrosoft Server Message Block 1.0 (SMBv1) の脆弱性を解決するためのセキュリティパッチで、通常の企業であれば、その月の間に定期的なパッチ配信で適用されるはずですが、今回の被害状況を見ると、MS17-010(KB4013389)を適用していない会社は多いようです。

万が一ランサムウェアに感染して、ファイルが暗号化された場合の唯一の対策は以下の通りです。

  1. ウィルス対策ソフトでランサムウェア(トロイの木馬)を削除する。
  2. Windows、Java、Adobeなどのパッチを適用して最新の状態にする。
  3. 暗号化されたファイルを削除して、ファイルをバックアップから復元する(バックアップソフトが自動的に復元出来る場合は自動的に復元)。

ではバックアップを取っていない端末であればどうすれば良いのでしょうか?答えは1つしかありません。それはあきらめる事です。もしかすると、ランサムウェアの攻撃者にビットコインを払って、復号ソフトとキーを取得して暗号化されたファイルを復号できる場合があります。しかし復号できるかは補償できません。それよりも大切な事として、サイバー攻撃者にビットコインを支払う事は多くの場合コンプライアンス違反となります。これは反社会的団体との金銭のやり取りが禁止されているからです。ビットコインを支払う事は反社会的団体に対して資金を提供する事になります。ですので、いくら大切なデータが暗号化されたとしても、復号するためにビットコインを支払ってはいけません。

広告

広告

-図解サイバーセキュリティ用語

関連記事

C2サーバ、C&Cとは 図解サイバーセキュリティ用語

C2サーバもしくはC&Cはコマンド&コントロールサーバの事です。C2サーバは攻撃者がユーザの端末に感染したマルウェアに対してコマンドを送信したり、マルウェア経由でユーザの端末のデータを受信したりする役 …

レッドチーム(Red Team)とブルーチーム(Blue Team) 図解サイバーセキュリティ用語

最近、レッドチーム演習というサービスが流行っています。いくつかのセキュリティ専門ベンダーやコンサルタント会社が企業にたいしてレッドチーム演習を提供していることが、IT系のWebメディアで伝えられていま …

異常検知 シグネチャ検知とアノマリー検知 図解サイバーセキュリティ用語

マカフィーやシマンテックなどのウィルス対策ソフトやSourceFireなどのIDS/IPS製品では異常検知を行う事によって、不正なトラフィックや悪意のあるコマンドを検知しています。異常検知には主にシグ …

ビジネスメール詐欺(BEC)とは? 図解サイバーセキュリティ用語 

IPAが偽口座への送金を促すビジネスメール詐欺への注意喚起を行っています。ビジネスメール詐欺はBECとも言われており、BECはBusiness Email Compromiseの略です。このビジネスメ …

WAF(ウェブアプリケーションファイアウォール)とは 図解サイバーセキュリティ用語

WAFはWeb Application Firewallの略で、Webサービスを攻撃から保護するためのシステムです。WAFはHTTP通信を分析して、悪意のあるコマンドやパラメータを含む通信をブロックし …