本稿では、2017年5月12日に現れ、世界中に大きな被害をもたらしたランサムウェア「WannaCry」について振り返って分析してみたいと思います。

被害状況

日本国内でもさまざまな企業が被害に遭いました。日本では日立製作所、JR東日本高崎支社など600か所・2000端末以上が感染しました(件数はJPCERT/CC発表より)。

日立製作所では、国内外の一部の業務用PCでメールを送受信できない、添付ファイルが開けないといった障害が発生。JR東日本では、群馬県高崎支社内の駅に設置したインターネット閲覧専用端末が利用できなくなりました。幸い、この端末は社内ネットワーク接続の無い端末のため、他の社内ネットワークに被害は無く、列車の運行業務にも影響はなく済みました。

ホンダの狭山工場での被害もニュースサイトを賑わせました。生産ラインを管理するPCがWannaCryに感染した影響で生産ラインが止まり、自動車1000台が生産できなかったと発表しています。同工場では、「一部設備に付帯するバージョンが古いPCには脆弱性があった」こともコメントしており、WannaCryが利用するWindowsの脆弱性(MS17-010)に対応するパッチの適用がされていなかったようです。このパッチが適用されていなかった理由については同社はコメントしていません。

全世界では150か国、30万件以上の被害が出ていると推測されています。(米ホワイトハウス発表より)

英国のNHS(国民保健サービス)では、当該サービスを提供する248団体の内、48団体で端末利用が出来なくなる障害が発生したと言われています。また同じく英国では日産サンダーランド自動車工場でも被害があったことが報告されています。

フランスではルノー自動車がホンダ同様に工場の生産ライン停止に追いかまれています。

北朝鮮の攻撃だった?

米政府は2017年12月、米紙Wall Street Journalを通じて、WannaCryを北朝鮮によるサイバー攻撃だったと断定したという見解を示しました。それより前に英国やマイクロソフトが同様の見解を示していましたが、それを肯定する形の見解となっています。

そう主張する根拠は、コードの中に北朝鮮の関与を示す部分を見つけたというものです。具体的には北朝鮮のハッカー集団「ラザルス」を示唆するコードがあったとしています。

ラザルスは2014年に起きたソニー傘下の米映画会社ソニー・ピクチャーズエンタテインメントへのサイバー攻撃への関与が疑われています。

これに対して北朝鮮側は、こうした主張は根拠のない臆測だと述べ、同国への制裁を強化するための「邪悪な試み」だとしています。

キルスイッチ

一部で大きな被害をもたらしたWannaCryですが、1週間後には被害は収束に向かいました。これには「キルスイッチ」が有効にされたことが大きいと言われています。

もともとキルスイッチとは、オートバイ等において燃料や電気の供給を遮断してエンジンを緊急的に停止させるためのスイッチのことです。WannaCry以外でもキルスイッチが設定されたマルウェアは他にも多く存在しています。

具体的にWannaCryでキルスイッチとは、WannaCry自身の活動を停止するための条件を指します。具体的には特定のドメインにアクセスできるかどうかが条件でした。このキルスイッチが有効となると、WannaCryはファイルの暗号化や身代金の要求といった活動を停止し、無効化されます。

WannaCryではウイルスを解析されることを嫌い、未登録ドメインへのアクセス性をキルスイッチにしていました。しかしあるセキュリティ研究者がこのドメインを取得したため、アクセスできるようになり、活動を停止しました。

なお、5月15日には異なるキルスイッチ用ドメインを用いる亜種や、キルスイッチの無い亜種が出回っています。しかし、パッチの適用が進んでいることから、被害は限定的となりました。

ワームとして考えるべきだった

従来のランサムウェアには見られなかった勢いで拡散したWannaCryは「ランサムウェア」の名を一躍世間に有名にしました。しかし、その実態はランサムウェアであると同時にネットワーク経由で増殖する「ワーム」でもありました。これが拡散した大きな理由のひとつです。WannaCry自体は2017年初頭頃に出現したランサムウェア(初期型WannaCry)にワーム機能が追加された亜種であることが判明しています。

2003年8月に大きな被害をもたらしたBlasterに類似していたように思えます。(SMBとRPCという脆弱性の違いこそあれ)

感染を防止するという意味では、ワームであることをもっと意識すべきであったとも思います。それにより、感染したPCを持ち込んで被害が拡大するなどの手法による組織内のネットワークへの侵入をより防げたかもしれません。