世界で猛威 ランサムウェア「WannaCry」とは？ シマンテックが解説

[ITmedia]

　古いWindowsの脆弱性を悪用した「WannaCry」（WannaCrypt、WannaCryptor）と呼ばれるランサムウェアが世界で猛威をふるっており、英国で医療機関が機能を停止するなど、欧州を中心に大きな被害が出ている。日本でも週明けから被害が拡大する可能性が指摘されている。

　セキュリティベンダーのシマンテックは5月14日、WannaCryの特徴や対策を紹介するブログ記事を公開し、注意を呼び掛けた。

ファイルを暗号化、ビットコインで“身代金”要求

　WannaCryはトロイの木馬型ランサムウェア。主にメールを通じて感染が広がっている。

　今年3月に明らかになった、WindowsのServer Message Block（SMB）の脆弱性（MS17-010）が他のコンピュータへの拡散に利用されており、企業ネットワーク内で自身を拡散する機能を備えている。

　感染すると、データファイルを暗号化したうえで、身代金として300ドルをビットコインで支払うよう要求する。3日後には要求金額が2倍に、7日過ぎても支払いがなければ暗号化されたファイルが削除される――と書かれているという。

WannaCry によって表示される身代金要求の画面（シマンテックのブログより）

身代金要求の文面が書かれた「!Please Read Me!.txt」という名前のファイルも投下される

　暗号化されるファイルの拡張子は、「.jpeg」「.ppt」「.txt」「.doc」「.zip」など150以上。暗号化後、ファイル名の末尾に「.WCRY」という拡張子を追加するという。

　暗号化されたファイルの復号は現時点では不可能。身代金を支払うことはすすめておらず、暗号化されてしまったファイルは、可能ならバックアップから復元するよう呼び掛けている。

最新のWindows更新プログラム適用済みなら感染の心配なし　Windows 10にも影響せず

　世界で多数の組織が影響を受けているが、ヨーロッパで特に被害が大きい。現時点では標的型攻撃とは考えられおらず、攻撃は無差別という。

　最新のWindowsセキュリティ更新プログラムが適用されているコンピュータなら感染のすることはないという。特にMS17-010を必ずインストールすることを呼び掛けている。また、シマンテックのセキュリティ製品でも既に対策済みという。Microsoftは、「WannaCryの悪用コードは現時点ではWindows 10には無効と確認している」と発表している。

　感染防止のため、心当たりのないメール、特にリンクが記載されていたり、ファイルが添付されていたりするメールには注意するよう呼び掛けている。特に「Microsoft Office文書を添付した上、マクロを有効にして内容を確認するよう勧めてくるメール」には警戒し、「信頼できる差出人から送信された正規のメールであることが絶対に確実な場合を除き、マクロは決して有効にせず、そのままメールを削除してください」としている。

　ランサムウェアの新しい亜種は頻繁に出現しているとし、セキュリティソフトを常に最新に保つこと、重要なデータのバックアップを作成し、オフラインやクラウドサービスに保存しておくこともすすめている。

　技術情報として、WannaCryが実行されると投下されるファイル名や挙動も説明している。