WannaCry(別名:「WanaCrypt0r」)は、ファイルを勝手に暗号化し、復号のために仮想通貨での支払いを求める「ランサムウェア」の代表的な一種です。2017年に爆発的な被害をもたらし、日本国内の大企業やイギリスの医療機関が深刻な影響を受けました。
この攻撃は、Windowsの脆弱性を突く形で拡散し、ネットワーク経由で感染が広がる特徴があります。感染した際に適切な対応が取れないと、業務停止やデータの消失などの二次被害が発生する恐れがあります。
そこで本記事では、WannaCryの基本的な特徴と攻撃手口、被害の具体例、そして感染時の対処法や再発防止策について、わかりやすく解説します。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
WannaCryとは
「WannaCry(ワナクライ)」(別名:「WanaCrypt0r」)は、2017年5月に全世界で猛威を振るったランサムウェア(身代金要求型マルウェア)の一種です。感染すると被害者のID、特定の電子メールアドレスが付与され、最後に「.WNCRY」拡張子が付与されます。
Windowsの深刻な脆弱性を悪用してネットワーク内の他端末へ自動的に感染を広げる(ワーム型)特徴を持ち、たった1台の感染から社内全体が麻痺するような大規模インシデントに発展するケースもありました。
またWannaCryの派生に見せかけた偽物が複数存在し、「WannaCry3.0」(感染時の拡張子は「.wncry」)や「WannaCryFake」といった無関係なマルウェアも存在します。
WannaCryに感染した端末の画面には「 Please_Read_Me@text 」と題する脅迫文が配置され、被害者が身代金を支払わない限り、ファイルをロックしたままにするといった内容が書かれています。なお、実際に身代金を支払っても復号できる保証はありません。
WannaCryランサムウェアの世界的な感染拡大
2017年5月、WannaCryはわずか数日で150カ国以上・数十万台のPCに感染し、過去最大級のマルウェア感染とされています。
とくに甚大な被害を受けたのがイギリスの国民保健サービス(NHS)です。電子カルテの閲覧が不能になり、患者の過去の記録が一切閲覧できなくなるなど、医療行為に支障をきたすといった報告されています。
被害に遭った業種は医療だけにとどまらず、物流、製造、教育、行政など、あらゆる業界が標的となりました。日本でも日立製作所やJR東日本などの大企業でWannaCryの感染が確認されております。
出典:BBC
出典:日経XTECH
>>【実例あり】ランサムウェア被害事例を徹底解説|感染対策とおすすめ調査会社も紹介
WannaCryが感染する仕組み
WannaCryは、ネットワーク経由で自動的に感染を広げる自己拡散型のランサムウェアです。
感染のきっかけとなるのは、Windowsの特定の脆弱性を突かれた場合です。攻撃者はこの脆弱性を利用し、遠隔からWannaCryを送り込んで暗号化などを実行させます。
加えて、WannaCryランサムウェアはワーム型の性質を持っており、感染した端末は自ら攻撃者の役割を担い、同じネットワーク内にある他の端末に向けて自動的に感染を拡大しようとします。
具体的には、以下のような流れで感染が拡大していきます。
- 感染した端末が、ネットワーク内の他の端末をスキャンします。
- 脆弱性が存在する端末を見つけると、自動的に攻撃コードを送り込もうとします。
- 攻撃が成功すると、新たな端末でもWannaCryが実行され、同じようにファイルが暗号化されます。
- 感染した端末は、さらに別の端末を探してスキャンと攻撃を繰り返します。
このように、WannaCryは1台が感染するだけで、短時間のうちにネットワーク全体に広がる危険性があります。
管理が行き届いていない古いPCや、セキュリティパッチが未適用の端末がネットワーク内に存在すると、それが足がかりとなり、被害が一気に拡大します。
特に企業や組織のように複数の端末が接続されている環境では、1台の感染が全社的なシステム停止につながる重大インシデントとなるため、感染したら速やかに専門家に相談することが必要です。
出典:日経XTECH
WannaCryランサムウェア感染の手口
WannaCryの感染拡大に使われたのが、「EternalBlue(エターナルブルー)」という攻撃ツールです。これは、アメリカ国家安全保障局(NSA)によって開発され、後に流出したものです。
EternalBlueは、WindowsのSMB(Server Message Block)というWindows同士でファイル共有やプリンター共有を行うための通信プロトコルに存在する深刻な脆弱性(CVE-2017-0144)を悪用します。
この脆弱性を利用すると、攻撃者はネットワーク経由で対象のPCにアクセスし、ユーザー名やパスワードなしにリモートで不正なコードを実行することができます。
つまり、標的となる端末にログインしなくても、外部からランサムウェアを送り込んで実行できるという非常に危険な仕組みです。
>>ランサムウェアの感染経路とは? 最新の傾向と防止対策を解説
WannaCryに感染した場合の対処法
被害の拡大を防ぎ、復旧や調査をスムーズに進めるためには、初動の対応が非常に重要です。ここでは、感染が疑われる場合に取るべき基本手順を紹介します。
- 安全確認と隔離
- 証拠保全
- 影響範囲の把握
- 専門家に相談する
安全確認と隔離
まず感染が疑われる端末をネットワークから切り離し、感染の拡大を防ぎます。ただし、電源を切ることでログが消える可能性があるため、操作は慎重に行う必要があります。
WannaCry感染時の手順は以下の通りです。
- 感染端末をネットワークから隔離(有線LANケーブルの抜去、Wi-Fi切断)
- 現状の状態を記録(画面・復号メモ・ファイル状況の写真やスクリーンショット)
- 端末の操作は最小限に留め、証拠保全に進む
証拠保全
後の調査や保険申請、再発防止のためには、感染状況を正確に把握できるログやファイルを保全することが重要です。
WannaCryの証拠保全の手順は以下の通りです。
- ログやシステム情報のバックアップ取得
- 復号メモ(ランサムノート)の原文保存
- ファイルの変更日時や拡張子の変化を記録
影響範囲の把握
どのファイルが暗号化されたか、どの端末に拡がったかを正確に洗い出します。特に共有サーバーやクラウドへの感染の有無は、二次被害の判断材料になります。
WannaCryの影響範囲を把握する方法は以下の通りです。
- 暗号化された拡張子の種類と数を調査
- 共有フォルダやNASへの被害有無を確認
- ネットワークスキャンの痕跡があるかログで確認
専門家に相談する
WannaCryランサムウェアに感染した場合、自己増殖による他端末への感染リスクやファイル暗号化による業務停止リスクなどが発生することが考えられるため、専門の調査会社に相談することを推奨します。
専門家による分析を受けることで、感染経路の特定や影響範囲の正確な把握が可能となり、迅速な対策につなげることができます。
またWannaCryランサムウェアはファイルの暗号化が主ですが、感染にあたり別のマルウェアが別で仕込まれて情報漏えいが同時に発生する場合もあります。
フォレンジック調査と呼ばれる、システムに残されたログや操作履歴、通信痕跡を収集・解析し、攻撃の事実関係を客観的に解明する専門調査を実施すれば、「侵入経路の特定」「被害範囲の把握」「情報漏洩の全容解明」「マルウェアの残存確認」「法的証拠の保全」などを包括的に調査できるので、再発防止につながるセキュリティ対策につなげることができます。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、法人様は最短30分でWeb面談可能、といったスピード対応も行っています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
WannaCryランサムウェアの予防策
WannaCryのような攻撃を未然に防ぐには、基本的なセキュリティ対策を徹底することが重要です。ここでは、企業でも個人でもすぐに実践できる予防策を紹介します。
- ソフトウェアやOSを定期的に最新版にアップデートする
- 不審なリンクをクリックしない
- 信頼できない送信元からのメールの添付ファイルを開かない
- 不審なWebサイトからファイルなどをダウンロードしない
- 公衆Wi-Fiへの接続時はVPNを使用する
- セキュリティ対策ソフトを導入する
- データのバックアップを保存する
ソフトウェアやOSを定期的に最新版にアップデートする
WannaCryは、古いWindowsに存在した脆弱性を悪用して拡散しました。日頃からWindows Updateを適用し、脆弱性を放置しないようにすることが重要です。
不審なリンクをクリックしない
メールやSNSで送られてくる不審なリンクには注意しましょう。攻撃者は信頼できるふりをして偽のURLを送ってくることがあります。
信頼できない送信元からのメールの添付ファイルを開かない
ZIPファイルやOffice文書など、添付ファイル経由でマルウェアが拡散するケースは非常に多いです。送信元に心当たりがない場合は開かないようにしましょう。
不審なWebサイトからファイルなどをダウンロードしない
フリーソフトや無料ツールのダウンロードには、マルウェアが仕込まれているケースもあります。公式サイトからの入手を徹底しましょう。
公衆Wi-Fiへの接続時はVPNを使用する
公共のWi-Fiは通信が暗号化されていないことがあり、データの盗聴やマルウェアの拡散に利用される恐れがあります。VPNを使って通信を保護しましょう。
セキュリティ対策ソフトを導入する
ウイルス対策ソフトやEDR製品の導入により、未知のマルウェアの検知や隔離が可能になります。検知ログは、後のフォレンジック調査にも役立ちます。
データのバックアップを保存する
感染しても業務を継続できるよう、定期的なバックアップは欠かせません。バックアップは隔離環境(オフライン)に保存しておくと安全です。
このようにWannaCryランサムウェア感染を予防するにはセキュリティ対策と万が一の時のバックアップを定期的に取得することを推奨します。