ランサムウエアで世界各国に影響。ヒトにも影響!

ランサムウエア(ransomware)とは、ransom(身代金)とsoftwareを組み合わせた造語で、感染したパソコンに読めなくするといった特定の制限(暗号等)をかけ、その制限の解除と引き換えに金銭を要求する 不正プログラム(ウイルス等)をさす。

(参考)IPAテクニカルウォッチ「ランサムウェアの脅威と対策」(独立行政法人情報処理推進機構:IPA、2017.01.23)

トレンドマイクロセキュリティブログで、「大規模な暗号化型ランサムウェア「WannaCry/Wcry」の攻撃、世界各国で影響(トレンドマイクロ、2017.05.13)」という記事を公開された。

上記トレンドマイクロブログの記事によると、今回の被害にはWindowsの脆弱性(JVNDB-2017-001843)とDlopbox(ウェブ上で共同作業もできるツール)のURLを悪用して拡散するランサムウエアとの組合せた攻撃だった模様。今回のランサムウエアによる攻撃を受けたパソコンに対しての脅迫状は、300米ドル(約3万4千円、2017年5月13日時点)相当の身代金をビットコインで要求しているとのことだ。[1]によると、身代金の支払いはカウントダウン形式になっており、指定された時間をすぎると、ファイルが消える恐れもあると指摘している。

感染経路は、今回のWindowsの脆弱性があるパソコンないしサーバを「ファイルサーバ(ファイル等を保存したり、共同作業を行える場所)」に、拡散させるためのランサムウェアをダウンロードし、サービス(一種のシステム)として登録され実行。脆弱性を修復するための修正プログラム(パッチ)を適用していれば、これらの一連の不正処理は行われない。サービスとして登録されるため、そのファイルサーバに登録されているファイルを暗号化かける。暗号化をかける場合、例えば、「●●●.docx」であれば、MS-Wordが開き編集ができるようになるが、166ものの拡張子が一斉に「●●●.wncry」に変換され、かつ暗号化(スクランブル)されるため、Wordで開こうとしても文書を読むことすらできなくなる。

今回被害は、[2]によると、世界規模のランサムウェア攻撃によって、7万台以上のコンピュータが被害に遭っているという。また、今回の攻撃は中国、ロシア、イギリス、スペイン、イタリア、ベトナムなどの多数のコンピュータに対して行われている。特に、イギリスの国民保健サービス(NHS)関連病院の情報システムの障害では端末の利用が制限され、実際に人命が危険に晒されているめ、一層注目を浴びている。(NHS関連病院の大半のコンピュータは今でも「Windows XP」を利用しているという。)

[3]によると、このNHS関連病院の被害では、NSAのハッキングツールを利用したと伝えている。NSAのハッキングツールにより標的された過去事例では、[6]によると国際銀行間金融通信協会(SWIFT:Society for Worldwide Interbank Financial Telecommunication)も該当するという。[7]によると、バングラデシュ中央銀行がハッキングされ、SWIFTのアクセスコードなどの情報が盗まれた。このハッキングについては[8]を参考されたい。

何か、色々と関連性がある話題ですねぇ。。。

さて、本題に戻します。[9] によると、icaclsコマンド[10]でアクセス権を与える処理をすると書かれていた。ファイル共有のアクセス権限設定(NTFSセキュリティ)向けコマンドで、ファイル共有する場合は、一般的に利用するコマンドだ。Windowsの脆弱性で侵入されてしまえば、このコマンドで走らされてしまえば、もはや手足が出ないっすねぇ。。。

今回のランサムウエア、WanaCrypt0r(WannaCry)については、MALWAREINTによると、日本でも感染していることが分かる。

[9]記事では、日本語も感染可能となっていたため、日本も標的の1つといったところだろうか?じわりじわり被害が出てくる所も出てきそうだ。

こういったランサムウェアやボットネットに対して対策する製品として、私が押しているF-Secure製品においても法人向け製品には対応していることが分かった。ただし、バージョン12.3xから。コンシューマ向けのF-Secure SAFEは、既に対応済みだ。エフセキュアは、サイバーセキュリティレポート(日本語版)を公開している。このレポートのP.40からはランサムウエアに関する記事だ。参考頂きたい。

ランサムウエア対策としては、「バックアップを取る」ことが一般的。これは、ランサムウエアによってファイルが暗号化されたとしても、バックアップから復旧(元に戻せる)できるよね、というところから。バックアップとしては、例えばOffice365のOneDriveとかが最適だよね、という判断ができる。というのも、OneDriveにはツールを使えば「クラウド同期」が取れるからだ。かつ、履歴管理をしているため、万が一暗号化され被害にあっても、被害にあう前に戻すことができる、ということだ。しかし、今回のランサムウエアのように、一気に暗号化され、暗号化されたものが、一気にクラウド同期されてしまうと、OneDrive標準機能では、一気に正常ファイルに戻すことができないため、あくまでも「バックアップ」としての運用になるのかもしれない。

日本のセキュリティチームのブログ「ランサムウェア感染時の対処についての考察(Microsoft、2016.08.05)」によると、クラウドストレージを利用している場合には、まず《ネットワークを遮断》とある。クラウド同期による汚染を防ぐ目的なためだ。感染に気づいたら、PCをネットワークから切る(無効にする)、PCの電源を切る、といったのも良いかもしれない。他のパソコンから、クラウド同期機能を無効にさせ、対策をしなくてはならないかもしれない。ランサムウエアに感染した場合は、《PCを初期状態に戻す》とある。諦めるしかない、ってことですね。

バックアップなんて必要ない? セキュリティ対策としてのバックアップの重要性(impress、2016.04.25)」によると、バックアップ先のスナップショット(履歴保存管理)や、PCから見えない設定にする等の必要性について言及している。ただ、PCから見えない設定にすることを、家庭ではするか?と考えると、まず「できない」になりそうだ。ただ、複数PCをもっているケースが高いため、感染に気づいたら、バックアップ先(NAS。例:Synology等)をネットワークから外す、というのも暫定対応になりそうだ。

 

今回のランサムウエアは少なくとも、Windowsの脆弱性を悪用した攻撃のため、今日から被害者になりたくないのであれば、Windows updateを行うべきだと考えている。また、サポートが終了したOS(=Windows XP,Vista,8,Server2003,Server2008等)に対して、異例にもマイクロソフトは特別のアップデートを提供することをリリースされた。(Customer Guidance for WannaCrypt attacks、2017.05.12 -翻訳-)

ダウンロード先:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

サポート終了した製品を利用されている場合には、適用をお勧めしたい。しかしながら、脆弱性はこれだけではないため、セキュリティが高いWindows10 / Server 2012 R2 / Server 2016への切り替えを検討してほしいところだ。

 

サイバー攻撃と書かれた記事だらけだけど、ように、Windowsの脆弱性が悪用されてパソコンがウイルス(マルウエア)に感染。単にウイルス感染であれば騒ぎ立てられていなかったが、なんでもかんでも暗号化されてしまうランサムウエアだったために、システムが動かなく、これが医療機関も含まれていて、手術が中止になって人体に影響が出てきた。また、PCが使えなくなったから、生産工場でも利用できなくなった、という、「情報セキュリティ対策」に対して、あまりにもリテラシーが低いために起きた事件のような気がする。サイバー攻撃という名前は大げさのような気がするけれども、ランサムウエア以外にも何か裏があるのかな?

こういった被害にも会わないようには、(1)サポート切れた製品は利用しない(2)修正プログラムが公開されたら、積極的にアップデートを行う(*企業の場合は、セキュリティ管理者の指示に従う)(3)サンドボックス等に対応したセキュリティ製品を利用し定義ファイルを惜しむことなく利用する。といったところだろうか。(4)バックアップはこまめに。バックアップ先も対策を。

参考資料

[1] 「ランサムウェア」とは? 世界70カ国以上で大規模なサイバー攻撃、日本でも感染か(HuffPost、2017.05.13)
[2] 世界74カ国でランサムウェア攻撃、病院や銀行などに被害(CNET、2017.05.13)
[3] イギリスの健康保険システムを麻痺させたランサムウェアはNSAのハッキングツールが起源だった(techcrunch、2017.05.13)
[4] 「NSAのハッキングツール」新たに大量流出 Windowsの脆弱性悪用も(ITmedia、2017.04.17)
[5] Shadow Brokersが公開したハッキングツールとNSAに関連か–スノーデン氏のリーク文書で明らかに(ZDNet、2016.08.22)
[6] 「NSAのハッキングツール」新たに大量流出 Windowsの脆弱性悪用も(ITmedia、2017.04.17)
[7] 被害110億円!大泥棒、銀行間ネット“スイフト”上に現る(DIAMOND ONLINE、2016.06.08)
[8] バングラデシュ中央銀行の不正送金についてまとめてみた(piyolog、2016.03.15)
[9] Wana Decryptor / WanaCrypt0r Technical Nose Dive(BLEEPINGCOMPUTER、2017.05.12), Google翻訳
[10] ICACLSの使い方(社本@元ネオニートBlog、2011.05.13)