古いWindowsの脆弱性を悪用した「WannaCry」(WannaCrypt、WannaCryptor)と呼ばれるランサムウェアが世界で猛威をふるっており、英国で医療機関が機能を停止するなど、欧州を中心に大きな被害が出ている。日本でも週明けから被害が拡大する可能性が指摘されている。
セキュリティベンダーのシマンテックは5月14日、WannaCryの特徴や対策を紹介するブログ記事を公開し、注意を呼び掛けた。
WannaCryはトロイの木馬型ランサムウェア。主にメールを通じて感染が広がっている。
今年3月に明らかになった、WindowsのServer Message Block(SMB)の脆弱性(MS17-010)が他のコンピュータへの拡散に利用されており、企業ネットワーク内で自身を拡散する機能を備えている。
感染すると、データファイルを暗号化したうえで、身代金として300ドルをビットコインで支払うよう要求する。3日後には要求金額が2倍に、7日過ぎても支払いがなければ暗号化されたファイルが削除される――と書かれているという。
暗号化されるファイルの拡張子は、「.jpeg」「.ppt」「.txt」「.doc」「.zip」など150以上。暗号化後、ファイル名の末尾に「.WCRY」という拡張子を追加するという。
暗号化されたファイルの復号は現時点では不可能。身代金を支払うことはすすめておらず、暗号化されてしまったファイルは、可能ならバックアップから復元するよう呼び掛けている。
世界で多数の組織が影響を受けているが、ヨーロッパで特に被害が大きい。現時点では標的型攻撃とは考えられおらず、攻撃は無差別という。
最新のWindowsセキュリティ更新プログラムが適用されているコンピュータなら感染のすることはないという。特にMS17-010を必ずインストールすることを呼び掛けている。また、シマンテックのセキュリティ製品でも既に対策済みという。Microsoftは、「WannaCryの悪用コードは現時点ではWindows 10には無効と確認している」と発表している。
感染防止のため、心当たりのないメール、特にリンクが記載されていたり、ファイルが添付されていたりするメールには注意するよう呼び掛けている。特に「Microsoft Office文書を添付した上、マクロを有効にして内容を確認するよう勧めてくるメール」には警戒し、「信頼できる差出人から送信された正規のメールであることが絶対に確実な場合を除き、マクロは決して有効にせず、そのままメールを削除してください」としている。
ランサムウェアの新しい亜種は頻繁に出現しているとし、セキュリティソフトを常に最新に保つこと、重要なデータのバックアップを作成し、オフラインやクラウドサービスに保存しておくこともすすめている。
技術情報として、WannaCryが実行されると投下されるファイル名や挙動も説明している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR