今、エバンジェリストが振り返る 「WannaCryは、そこまで騒ぐべき事件ではなかった」：セキュリティリサーチャーからの提案（前編）（2/4 ページ）

[宮田健，ITmedia]

　WannaCryは、日本においては週末にかかるタイミングで初報があった。実はそのとき、感染経路に関してあやふやな情報が多数掲載されていたことを辻氏は指摘する。そのうちの1つには弊誌、ITmedia エンタープライズで掲載したニュース記事もある。

　「WannaCryが報じられた当初、『メールの添付ファイルを経由して感染する』という報道があった。これはIPA（情報処理推進機構）が2017年5月14日に公開した情報がもとになっています。しかし、これに確固たる根拠はなく、この時点でメールに添付されるような検体は発見できていなかったのです」（辻氏）

　このことから辻氏は、「どんな機関が情報を出したとしても、自分で情報を“検証”すべき時代が来た」と強調する。受け取るだけ、情報を集めるだけの時代は終わり、能動的にフィルタリングし、検証すべきだと辻氏。「自分たちが、責任を持って情報を検証していかなければ、情報に振り回され、結果的に無駄な行動をしてしまいます」。

ややこしかった、WannaCryの感染条件

　後に判明するが、WannaCryはWindowsの通信プロトコル「Server Message Block」（SMB）の脆弱性に起因するものだった。しかし、SMBを使う誰もが感染するというものでもなく、2017年3月に公開されたセキュリティパッチ（MS17-010）が適用されていない、という条件が明らかになった。

　ところが話はそう簡単ではない。セキュリティパッチが適用済みの環境であっても、それ以前に「DoublePulsar」と呼ばれるツールに感染していた場合は、WannaCryに感染してしまうという条件も存在した。さらには「キルスイッチ」とも言うべき機能により、特定のドメインへアクセス可能であれば、感染後に発症しない――という条件もある。

WannaCryの感染／発症に関するフローチャート

　辻氏はこの状況を、1つのフローチャートにして解説。すると、大きな事実が明らかになる。「これ、実は発症に至るほうが少ないと思いませんか？　そう考えると、WannaCryについては、そこまで騒ぐようなものではないんじゃないかと思っています」（辻氏）