WannaCry

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索
WannaCry
日付 2017年5月12日 (2017-05-12) - 2017年5月15日
(初期アウトブレイク)[1]
場所 世界の旗 世界
別名 WannaCrypt, WanaCrypt0r, WCRY
種別 サイバー攻撃
テーマ ランサムウェアによって暗号化されたハードディスクと$300 - $600分のビットコインを要求
原因 脆弱性を利用したソースコードEternalBlue
バックドアDoublePulsar
関係者 不明
結果 20万人以上の23万台以上のコンピュータへの感染(Avast社)[2][3]

WannaCry(ワナクライ、WannaCrypt[4], WanaCrypt0r 2.0, Wanna Decryptor, WCry などの別称あり[5])は、Microsoft Windowsを標的としたランサムウェアである。

2017年5月12日から大規模なサイバー攻撃が開始され、150か国の23万台以上のコンピュータに感染し、28言語で感染したコンピュータの身代金として暗号通貨ビットコインを要求する[6][7]

概要[編集]

確認されている最も古い感染例は、2017年4月25日トレンドマイクロが確認した、DropboxのURLを悪用したものである[5]。同年5月12日頃より本格的に感染を拡大した[5]。このランサムウェアは、メールワームなど複数の方法によって感染し、ユーロポールが「前例のない規模」と発表する[8]ほど大規模であった。

技術的には、主にWindowsのSMBv1の脆弱性を利用して感染するものと見られている[9]。この脆弱性については、2017年3月14日時点でマイクロソフトがセキュリティパッチを公開している[10]。このパッチをインストールしなかったコンピュータが感染し、被害が拡大した[11]。被害にあったコンピュータのほとんどのOSWindows 7であった[12]

サイバー攻撃当初、古いOSは特に危険に晒されていたので、マイクロソフトではサポート終了済みのWindows XPWindows Server 20038.1未適用のWindows 8などにも、2017年5月13日に臨時のセキュリティパッチを提供するという異例の対応を行った[4][9]

背景[編集]

4月14日に、シャドー・ブローカーズ英語版を名乗る集団が、Microsoft Windowsの脆弱性MS17-010を標的とする攻撃ツール「Eternalblueエクスプロイト、およびバックドアプログラム「Doublepulsar」などの複数の攻撃ツールをまとめた「FuzzBunchツールキット」をインターネット上で公開した[13][14]

これらの攻撃ツールは、アメリカ国家安全保障局 (NSA) が開発したもので[15][16]、NSAの一部と考えられているイクエーション・グループから情報漏洩したものとみられる[17][18]。「WannaCry」には「Eternalblue」と共に「Doublepulsar」が使われている[19][20][21]

被害[編集]

被害を受けた国

コンピュータセキュリティ会社カスペルスキーによると、最も大きい影響を受けた4か国は、ロシアウクライナインド中華民国であるとしている[22]

日本
アジア
ロシア
ヨーロッパ
南米
北米

影響[編集]

イギリス
国民保健サービスが攻撃を受け、MRIや血液貯蔵冷蔵庫など、7万台の機器が影響を受けたとされる[47]。また、およそ40の医療施設でシステムが使えなくなるなど被害を受けた。攻撃を受けた病院では患者の情報にアクセスできなくなり、手術を中止したり、診察の予約をキャンセルしたほか、救急搬送されてきた患者を受け入れられず、ほかの病院へ搬送する事態となった[48][49]
ヨーロッパ
ルノーや英国日産自動車製造などの自動車製造工場では、製造停止の事態におちいった[50][51]

調査[編集]

キルスイッチ
WannaCryに、ランサムウェアの拡散と活動を停止させる「キルスイッチ」となるURLが含まれているのを、感染したマシンからの活動を追跡していたセキュリティ研究者が発見した。この未登録のドメインに登録したところ、一時的に攻撃が停止した[52]
この研究者は、アンチウィルスの研究者がソフトウェアを調査することがより困難になるように、ネットワークから隔離されたマシン上で実行されるのを防ぐメカニズムとして、これがソフトウェアに含まれていると推測した。こういった技術は以前から存在している[53]
しかし、その後ハッカーらは、このランサムウェアからキルスイッチをなくしたアップデート版を作成し、この新しい亜種は「Uiwix」という名称だと、セキュリティソフトウェア企業のHeimdal Securityは述べている[52]。一方、トレンドマイクロは、この新種はWannaCryと同じように脆弱性「MS17-010」を利用するランサムウェアだが、メモリ上で動作し、仮想マシンやサンドボックスを検知して活動を停止することから別ファミリーだと判断している[54]
犯人の特定
コンピュータセキュリティ会社のカスペルスキーシマンテックの両社は、このコードが過去にハッキンググループ「Lazarus Group(en)」(北朝鮮とつながりがあるグループで、ソニー・ピクチャーズ・エンタテインメントへのハッキング事件や2016年のバングラデシュ銀行の不正送金に関与)が使用していたものと類似していると述べている[55]。これは単にソースコードを参考にしたか、捜査を攪乱するための工作の可能性も指摘されている[55]
身代金要求の中国語の文章はネイティブが記述、英語は非ネイティブによる記述、それ以外の言語については英語版をGoogle翻訳にかけた機械翻訳であると分析されている[56][57]
復号
特定条件のWindows XPで、確実ではないが復号できたという報告も出ている[58]

身代金[編集]

感染後、暗号化されたデータの身代金として、当初は300ドル、3日後に値上がりし600ドル相当のビットコインを要求し、7日以内に振り込まなければデータを復元できなくするとしている[59]

5月17日現在、多くの人が300ドルを支払ったにもかかわらず、解除できたという報告はなされていない[60]ネットワーク・セキュリティ会社チェック・ポイント・ソフトウェア・テクノロジーズは「WannaCryは、製作者に支払った人と関連付ける方法を持っていないようだ」と述べている[61]。これらの事実により、身代金を支払わないようアドバイスも行われている[60]

カスペルスキーによると、身代金の振込先として少なくとも3つの口座が使われていることが確認されている[62]。2017年5月25日 7:40 UTCの時点で、計302の取引と49.60319 BTC(2017年5月25日時点の相場で、126,742.48 USD 日本円で約1400万円)が振り込まれている[63]

脚注[編集]

[ヘルプ]
  1. ^ The WannaCry ransomware attack was temporarily halted. But it’s not over yet.”. 2017年6月10日閲覧。
  2. ^ Ransomware attack still looms in Australia as Government warns WannaCry threat not over” (英語). 2017年5月15日閲覧。
  3. ^ Cameron, Dell. “Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It” (英語). 2017年5月13日閲覧。
  4. ^ a b “ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス” (日本語) (プレスリリース), Microsoft, (2017年5月14日), https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/ 2017年5月18日閲覧。 
  5. ^ a b c 世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた”. piyolog (2017年5月13日). 2017年5月18日閲覧。
  6. ^ “Cyber-attack: Europol says it was unprecedented in scale” (en-GB). BBC News. (2017年5月13日). http://www.bbc.com/news/world-europe-39907965 2017年5月13日閲覧。 
  7. ^ 'Unprecedented' cyberattack hits 200,000 in at least 150 countries, and the threat is escalating”. CNBC (2017年5月14日). 2017年5月16日閲覧。
  8. ^ "Cyber-attack: Europol says it was unprecedented in scale". BBC ニュース, 2017-05-13. 2017年5月14日閲覧。
  9. ^ a b ランサムウエア "WannaCrypt" に関する注意喚起 JPCERT-AT-2017-0020, JPCERT/CC, 2017-05-14. 2017年6月23日閲覧。
  10. ^ Microsoft Security Bulletin MS17-010 – Critical”. technet.microsoft.com (2017年3月14日). 2017年6月23日閲覧。
  11. ^ John Leyden (2017年5月12日). “WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain”. The Register. 2017年6月23日閲覧。
  12. ^ Almost all WannaCry victims were running Windows 7”. theverge.com (2017年5月19日). 2017年6月23日閲覧。
  13. ^ 攻撃ツール「Eternalblue」を悪用した攻撃と考えられるアクセスの観測について”. 2017年5月17日閲覧。
  14. ^ 自らを拡散するWannaCryランサムウェアを分析”. ascii.jp、McAfee Blog. 2017年5月17日閲覧。
  15. ^ “NHS cyber attack: Edward Snowden says NSA should have prevented cyber attack”. The Independent. http://www.independent.co.uk/news/uk/home-news/nhs-cyber-attack-edward-snowden-accuses-nsa-not-preventing-ransomware-a7733941.html 2017年5月13日閲覧。 
  16. ^ NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history”. The Daily Telegraph. 2017年5月13日閲覧。
  17. ^ Fox-Brewster, Thomas (16 February 2015). “Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'”. Forbes. http://www.forbes.com/sites/thomasbrewster/2015/02/16/nsa-equation-cyber-tool-treasure-chest/ 2015年11月24日閲覧。. 
  18. ^ Latest Shadow Brokers dump – owning SWIFT Alliance Access, Cisco and Windows” (2017年4月14日). 2017年4月15日閲覧。
  19. ^ NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history”. The Daily Telegraph. 2017年5月13日閲覧。
  20. ^ Cameron, Dell (2017年5月13日). “Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It”. Gizmodo. 2017年5月15日閲覧。
  21. ^ How One Simple Trick Just Put Out That Huge Ransomware Fire”. Forbes (2017年4月24日). 2017年5月15日閲覧。
  22. ^ Jones, Sam (2017年5月14日). “Global alert to prepare for fresh cyber attacks”. Financial Times 
  23. ^ “日立製作所 サイバー攻撃で社内システム一部に障害” (日本語). (2017年5月15日). http://www3.nhk.or.jp/news/html/20170515/k10010981821000.html?utm_int=detail_contents_news-related-auto_002 2017年5月15日閲覧。 
  24. ^ 国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染 (日本語). (2017年5月15日) 2017年5月16日閲覧。
  25. ^ “イオンのディスプレーも餌食に... ランサムウェア「WannaCry」街角でも増殖中” (日本語). (2017年5月16日). https://www.j-cast.com/2017/05/16298081.html?p=all 2017年5月22日閲覧。 
  26. ^ 世界規模で感染した5月から一月後の6月下旬に発覚した。
  27. ^ “ホンダが工場など複数拠点でWannaCry感染、一部の生産に影響” (日本語). (2017年6月21日). http://itpro.nikkeibp.co.jp/atcl/news/17/062101713/ 2017年6月22日閲覧。 
  28. ^ Larson, Selena (2017年5月12日). “Massive ransomware attack hits 99 countries”. CNN. http://money.cnn.com/2017/05/12/technology/ransomware-attack-nsa-microsoft/ 2017年5月12日閲覧。 
  29. ^ Bank of China ATMs Go Dark As Ransomware Attack Cripples China | Zero Hedge” (en) (2017年5月13日). 2017年5月14日閲覧。
  30. ^ a b Global cyber attack: A look at some prominent victims” (es) (2017年5月13日). 2017年5月14日閲覧。
  31. ^ “Korean gov't computers safe from WannaCry attack”. The Korea Herald. http://www.koreaherald.com/view.php?ud=20170515000574 2017年5月15日閲覧。 
  32. ^ “Ransomware WannaCry Surfaces In Kerala, Bengal: 10 Facts”. New Delhi Television Limited (NDTV). http://www.ndtv.com/india-news/ransomware-wannacry-surfaces-in-kerala-bengal-10-facts-1693806 2017年5月15日閲覧。 
  33. ^ Sanjana Nambiar (2017年5月16日). “Hit by WannaCry ransomware, civic body in Mumbai suburb to take 3 more days to fix computers” (英語). Hindustn Times. http://www.hindustantimes.com/mumbai-news/hit-by-wannacry-ransomware-civic-body-in-mumbai-suburb-to-take-3-more-days-to-fix-computers/story-eSIMZQ2NFT217erJAFkS0J.html 2017年5月17日閲覧。 
  34. ^ Andhra police computers hit by cyberattack” (en) (2017年5月13日). 2017年5月13日閲覧。
  35. ^ Компьютеры РЖД подверглись хакерской атаке и заражены вирусом”. Radio Liberty. 2017年5月13日閲覧。
  36. ^ Researcher 'accidentally' stops spread of unprecedented global cyberattack”. ABC News. 2017年5月13日閲覧。
  37. ^ Vidal Liy, Macarena (2017年5月15日). “Putin culpa a los servicios secretos de EE UU por el virus ‘WannaCry’ que desencadenó el ciberataque mundial” (スペイン語). El País. http://internacional.elpais.com/internacional/2017/05/15/actualidad/1494855826_022843.html 2017年5月16日閲覧。 
  38. ^ France’s Renault hit in worldwide ‘ransomware’ cyber attack” (es) (2017年5月13日). 2017年5月13日閲覧。
  39. ^ Weltweite Cyberattacke trifft Computer der Deutschen Bahn” (de) (2017年5月13日). 2017年5月13日閲覧。
  40. ^ (ルーマニア語) UPDATE. Atac cibernetic la MAE. Cine sunt hackerii de elită care au falsificat o adresă NATO”. Libertatea (2017年5月12日). 2017年5月15日閲覧。
  41. ^ (ルーマニア語) Atacul cibernetic global a afectat și Uzina Dacia de la Mioveni. Renault a anunțat că a oprit producția și în Franța”. Pro TV (2017年5月13日). 2017年5月15日閲覧。
  42. ^ a b Un ataque informático masivo con 'ransomware' afecta a medio mundo” (es) (2017年5月12日). 2017年5月13日閲覧。
  43. ^ a b WannaCry no Brasil e no mundo” (pt) (2017年5月13日). 2017年5月13日閲覧。
  44. ^ LATAM Airlines también está alerta por ataque informático”. Fayerwayer. 2017年5月13日閲覧。
  45. ^ What is Wannacry and how can it be stopped?” (en) (2017年5月12日). 2017年5月13日閲覧。
  46. ^ “Some University of Montreal computers hit with WannaCry virus”. The Globe and Mail. (2017年5月16日). http://www.theglobeandmail.com/news/national/universite-de-montreal-computers-hit-with-wannacry-virus/article35004991/ 2017年5月16日閲覧。 
  47. ^ Ungoed-Thomas, Jon; Henry, Robin; Gadher, Dipesh (2017年5月14日). “Cyber-attack guides promoted on YouTube”. The Sunday Times. https://www.thetimes.co.uk/article/cyber-attack-guides-promoted-on-youtube-972s0hh2c 2017年5月14日閲覧。 
  48. ^ イギリス各地で国営の病院にサイバー攻撃(NHK)
  49. ^ 99か国でサイバー攻撃、英の病院では手術中止(TBS)
  50. ^ Sharman, Jon (2017年5月13日). “Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France”. 2017年5月13日閲覧。
  51. ^ Renault stops production at several plants after ransomware cyber attack as Nissan also hacked” (2017年5月13日). 2017年5月13日閲覧。
  52. ^ a b ランサムウェア「WannaCry」、キルスイッチをなくした亜種「Uiwix」が登場” (2017年5月16日). 2017年5月22日閲覧。
  53. ^ MalwareTech (2017年5月13日). “How to Accidentally Stop a Global Cyber Attacks”. 2017年5月22日閲覧。
  54. ^ ランサムウェア「UIWIX」など「WannaCry/Wcry」の模倣犯が連続して出現” (2017年5月16日). 2017年5月22日閲覧。
  55. ^ a b Solong, Olivia (2017年5月15日). “WannaCry ransomware has links to North Korea, cybersecurity experts say”. The Guardian. https://www.theguardian.com/technology/2017/may/15/wannacry-ransomware-north-korea-lazarus-group 
  56. ^ “「WannaCry」脅迫文は中国語ネイティブが執筆か--言語分析で新たな手がかり”. CNET Japan. (2017年5月26日). https://japan.cnet.com/article/35101786/ 2017年6月2日閲覧。 
  57. ^ Leyden, John (2017年5月26日). “WannaCry‬pt ransomware note likely written by Google Translate-using Chinese speakers”. 2017年5月26日閲覧。
  58. ^ ランサムウェア「WannaCry」に感染したWindows XPの暗号解読に研究者が成功、解除ツール「Wannakey」を公開(gigazine)
  59. ^ サイバー攻撃 日本でも600か所以上感染 背景と対策は”. NHK. 2017年5月19日閲覧。
  60. ^ a b “Ransomware attack hits 200,000 computers across the globe”. New Scientist. (May 17, 2017). https://www.newscientist.com/article/mg23431263-500-ransomware-attack-hits-200000-computers-across-the-globe/. 
  61. ^ WannaCry – Paid Time Off?”. Check Point Software Technologies, Ltd.. 2017年5月19日閲覧。
  62. ^ 大規模サイバー攻撃 ネット接続だけでウイルス侵入か”. NHK. 2017年5月19日閲覧。
  63. ^ @actual_ransom tweets”. 2017年5月19日閲覧。

関連項目[編集]

外部リンク[編集]