「持ち出し端末からの感染を確認」「Port445/TCPのスキャンに注意」 JPCERT/CCがWannaCry情報を更新

JPCERT/CCが、ランサムウェア「WannaCry」の亜種によるサイバー攻撃についての注意喚起情報を更新し、新たに判明した感染経路の情報や、日本国内に向けたポートスキャンの状況などを告知した。

[園部修，ITmedia]

　国内でも被害が出ているランサムウェア「WannaCry」（Wanna Cryptor、WannaCrypt、Wcry）の亜種によるサイバー攻撃について、JPCERT/CCが注意喚起情報を更新し、新たに判明した感染経路の情報や、日本国内に向けたポートスキャンの状況などを告知した。

　WannaCryは、旧バージョンのWindowsに搭載されている「SMBv1」（Microsoft Server Message Block 1.0）の脆弱（ぜいじゃく）性を悪用するランサムウェアで、感染するとファイルを暗号化し、Bitcoinによる身代金の支払いを要求する。支払いには期限があり、払わないとデータが復号できなくなるという（払ったからといって復号されるとは限らない点は注意が必要）。

感染するとこうした画面が表示される

　現時点では、詳細な感染源はまだ判明していないが、外部に持ち出してインターネットに接続したPCなどが、利用者が気が付かないまま感染したケースを確認しているという。また感染したPCをネットワークに接続すると、ネットワーク内をスキャンし、脆弱（ぜいじゃく）性が残っているPCやサーバに感染を広げることが確認されている。IPA（情報処理推進機構）などは、当初メールなどからの感染に注意を促していたが、標的型攻撃やばらまき型メール攻撃のような広がり方とは異なるようだ。

　JPCERT/CCで“WannaCrypt”の動作を分析したところ、感染したPCなどから、外部のIPアドレスや、同一ネットワークセグメント内の端末に対して、「MS17-010」で修正された脆弱性が残っている端末を探すため、Port445/TCP宛てのスキャンが実行される。

　なおJPCERT/CCでは、早期にアップデートを行えない場合、「関連するポート（Port445/TCP）のブロックや、サービスの停止を行うことを強く推奨します」と告知している。

　JPCERT/CCの定点観測システム「TSUBAME」では、2017年4月23日以降、日本国内に向けたPort445/TCP宛てのスキャンの増加を観測しているが、WannaCryに感染した端末によるスキャンかどうかは判明していないという。

JPCERT/CCでは、Port445/TCP宛てのスキャンが増加していることを検知しているという

　対策としては、Microsoftが公開している、MS17-010などの、脆弱性を修正するパッチを適用し、Windowsを最新の状態にすることが最善とのことだが、すぐに対応できない場合などには、@ITで公開している「今すぐできるWannaCry対策」なども参考に、可能な対処をすることをお勧めする。