ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

WannaCry着弾、日本で1万6000件以上 拡散経路は「メールばらまき」ではない? トレンドマイクロ

» 2017年05月17日 09時50分 公開
[ITmedia]

 5月12日以降、世界で流行したランサムウェア「WannaCry」(WannaCrypt、WannaCryptor)について、国内でも1万6000件以上の攻撃を確認・ブロックしたと、トレンドマイクロが16日に発表した。拡散手法については「メールベースでの大規模な攻撃が行われている兆候は確認していない」と、“ばらまき型”の可能性を疑問視し、脆弱性のあるPCがネット経由で直接狙われた可能性を示唆している。

画像 日本での攻撃数の推移(トレンドマイクロのブログより)

 WannaCryは、WindowsのMicrosoft Server Message Block 1.0(SMBv1)サーバの脆弱性を悪用したランサムウエア。端末のファイルを暗号化して読めない状態にし、復号のために金銭を要求する。

 トレンドマイクロは、クラウド型セキュリティ基盤「Trend Micro Smart Protection Network」を通じ、同社が確認、ブロックしたWannaCry攻撃を集計した。

 世界で攻撃が急増したのは日本時間12日(金)午後9時42分以降。同時刻より前に確認・ブロックした攻撃は世界で2128件(トップのイギリスで786件、日本で105件など)にとどまっていたが、同時刻から週明け15日(月)午前9時までは世界で9万2141件、日本でも1万3645件の攻撃を確認した。

 日本では、15日午前9時から16日午前9時までに2686件攻撃を確認。5月7日午前9時から16日午前9時までの9日間で、合計1万6436件の攻撃を確認したことになる。

 日曜朝から月曜朝にかけ攻撃が落ち着いていた一方で、月曜始業時からやや増加しており、「電源が切られていたPCが出勤時に立ちあがると同時に、アクセス可能になったことで攻撃が増加した」とみている。

画像 WannaCryの活動概念図
画像 WannaCryのワーム活動概念図

 WannaCryは感染後、同じネットワーク上のPCの脆弱性をスキャンして攻撃する「ワーム機能」を備えており、感染を拡大させた。法人が攻撃を受けた場合、ネットワーク上にPCが複数台ある場合にも1件とカウントするため、実際に攻撃を受けたPCの台数はさらに多いという。

拡散経路は「メールばらまき」ではない?

 WannaCryの拡散手法について同社は「現時点ではメールベースでの大規模な攻撃が行われている兆候は確認していない」とコメント。「ネット経由で直接グローバルIPアドレスに対して脆弱性を狙う攻撃が行われていた」と推定し、同一ネットワーク内ではワーム機能によって被害拡大させたとみている。

 WannaCryや、同種のランサムウェアによる攻撃は「継続して行われる可能性も十分考えられる」とし、パッチの適用や、データのバックアップなどの対策を採るよう呼び掛けている。

Copyright © ITmedia, Inc. All Rights Reserved.