CRITICAL2017年5月

WannaCry

2017年に世界150カ国・23万台以上のコンピュータに感染したランサムウェア。 NHSや日立など大企業・公共機関にも甚大な被害を与えた。

概要

WannaCryはWindowsの脆弱性「EternalBlue」を悪用して自己拡散するランサムウェアです。感染するとファイルを暗号化し、復号と引き換えにビットコインを要求します。 NSAが開発したエクスプロイトがShadow Brokersによって流出したことで、サイバー犯罪者の手に渡り世界規模の攻撃が発生しました。

攻撃の仕組み

WindowsのSMBv1プロトコルの脆弱性を突いてネットワーク内を自動拡散します。ユーザーの操作なしに感染が広がるため、被害が爆発的に拡大しました。

① EternalBlueでSMBv1の脆弱性を悪用してシステムに侵入

② DoublePulsarバックドアをインストール

③ ファイルを暗号化し .WNCRY 拡張子に変更

④ 同一ネットワーク内の他のマシンに自動拡散

⑤ ビットコインでの身代金（300〜600ドル）を要求

主な被害

NHS（英国国民保健サービス）

病院システムが停止、手術がキャンセル

日立製作所

社内システムに障害発生

ルノー

複数の工場が操業停止

FedEx

物流システムに深刻な影響

中国の大学・公共機関

大規模感染が発生

ロシア内務省

1000台以上のPCが感染

タイムライン

2017年4月14日

Shadow BrokersがEternalBlueを公開

2017年5月12日

WannaCryが世界規模で拡散開始

2017年5月12日

MalwareTechがキルスイッチを発見・感染拡大を阻止

2017年5月13日

Microsoftが緊急パッチをリリース（XPも含む）

2017年12月

米英政府が北朝鮮を攻撃主体と断定

対策

推奨Windowsを最新状態にアップデート（MS17-010を適用）

推奨SMBv1を無効化する

推奨重要なファイルは定期的にバックアップ

緩和策ファイアウォールでポート445をブロック

参考リンク

↗ Microsoft Security Bulletin MS17-010 ↗ CISA Alert - WannaCry