WannaCry Ransomware Attack

北朝鮮のLazarus Groupが開発したとされるWannaCryは、米国政府から盗んだエクスプロイトコードとカスタムコードを組み合わせて ランサムウェア ワームを作成しました。 このワームは2017年5月に展開され、3日間で推定200,000台のコンピューターに感染した世界的な攻撃です。 Windowsシステムの脆弱性を悪用することで、マルウェアはそれ自体で新しい被害者に感染し、インターネット上で指数関数的に拡散する可能性があります。

詳細はこちら デモのスケジュール

WannaCryの潜在的な被害

マルウェアが広範囲に及び、それが引き起こした被害は、3日間の攻撃が世界全体で数十億ドルの推定コストをもたらしたことを意味しました。

しかし、WannaCryによる被害は、さまざまなビジネスや業界に均等に広がっているわけではありませんでした。 英国の国民保健サービス(NHS)のような組織は、脆弱なマシンを大量に運用しており、特に大きな打撃を受けました。 WannaCryがNHSにかかる費用だけでも 、1億米ドルと推定されています。

2017年のアウトブレイクは、WannaCryコード内に「キルスイッチ」が発見されたことでようやく阻止され、このスイッチが発動されると、マルウェアのさらなる拡散や、追加のマシンに保存されているデータの暗号化を阻止しました。 2017年のアウトブレイク以降、WannaCryの改変版による攻撃がさらに発生しています。 しかし、それらのどれもが、最初のアウトブレイクと同じフットプリント、コスト、または認識を達成していません。

Wannacryランサムウェアの仕組み

ランサムウェアの一種として、データ暗号化による最初の感染から最終的な身代金要求まで、ほぼ標準化された一連の手順に従います。

#1.感染症

他の多くのランサムウェアの亜種とは異なり、WannaCryは悪意のあるメールによって運ばれたり、マルウェアドロッパーを介してインストールされたりするのではなく、それ自体で拡散します。

WannaCryのワーム機能は、Windowsのサーバーメッセージブロック(SMB)プロトコルの脆弱性を悪用するEternalBlueエクスプロイトの使用に由来します。 この脆弱性は、国家安全保障局(NSA)によって最初に発見され、Shadow Brokersによって公開されました。

EternalBlueがリークされた後、Microsoftは2017年4月に問題を修正したSMBの更新バージョンをリリースしました。 これはWannaCryが本格的にアウトブレイクする1ヶ月前でしたが、多くの組織はまだパッチをインストールしていなかったため、WannaCryに対して脆弱でした。

WannaCryに感染したマシンは、インターネットをスキャンして、脆弱なバージョンのSMBを実行している他のマシンを探します。 見つかった場合、感染したコンピューターはEternalBlueを使用して、標的のコンピューターにWannaCryのコピーを送信して実行します。 この時点で、マルウェアはコンピューターのファイルの暗号化を開始する可能性があります。 ただし、最初に特定のWebサイトの存在を確認します。 Webサイトが存在する場合、マルウェアは何もしません。 この「キルスイッチ」の存在は、WannaCryの拡散を阻止する方法(起動すると独立して拡散する)か、フォレンジック分析をより困難にする手段として(ほとんどのサイバーセキュリティラボ環境は、マルウェアが要求するWebサイトが存在するふりをするため)であると理論化されています。 要求されたドメインが見つからない場合、WannaCryは暗号化段階に進みます。

#2.暗号化

ランサムウェアの亜種であるWannaCryは、身代金が支払われない限り、ユーザーがコンピューター上のファイルにアクセスすることを拒否するように設計されています。 これは、マルウェアが秘密鍵の知識がある場合にのみ元に戻せる方法でデータを変換する暗号化を使用して実現されます。 WannaCryの秘密鍵はランサムウェアのオペレーターにしか知られていないため、被害者は身代金を支払ってデータを取得することを余儀なくされます。

WannaCryは、コンピュータ上のファイル拡張子タイプのセットリストを検索して暗号化するように設計されています。 これは、マルウェアがシステムの安定性に与える影響を最小限に抑えるために行われます。 間違ったファイルが暗号化されていると、コンピューターが実行できなくなり、被害者が身代金を支払ったり、ファイルを取得したりできなくなる可能性があります。

#3.身代金

WannaCryマルウェアは、被害者に300米ドルの身代金を要求しました。 ただし、身代金の要求は、不換紙幣ではなくビットコインで支払うことでした。 暗号通貨としてのビットコインは、従来の種類の通貨よりも追跡可能性が低いため、当局に身元をすぐに警告することなく、身代金メッセージに支払いアドレス(銀行口座番号と同様)を埋め込むことができるため、ランサムウェアオペレーターに役立ちます。

WannaCry攻撃の被害者が身代金を支払った場合、その被害者にはコンピュータの復号化キーを提供する必要があります。 これにより、サイバー犯罪者が提供する復号化プログラムが、ユーザーのファイルに対して実行された変換を元に戻し、元のデータへのアクセスを返すことができます。

WannaCryランサムウェアから保護する方法

WannaCryランサムウェアは、EternalBlueエクスプロイトに大きく依存して機能します。 元のマルウェアの作成者は、この脆弱性を利用して、WannaCryをワームに変え、それ自体で拡散できるようにしました。 この場合、WannaCryから保護する最も簡単な方法は、SMBを無効にするか、Microsoftが提供する脆弱性を修正するパッチをインストールすることです。

ただし、これは非常に特殊な問題に対する解決策です。 他のランサムウェアの亜種や、さまざまな手段で拡散するWannaCryから組織を保護することはできません。 さまざまなランサムウェアの脅威から組織を保護する方法については、 チェック・ポイントのランサムウェア対策ソリューションをご覧ください。

スタート

アンチランサムウェア

エンドポイント保護

ランサムウェアハブ

関連トピック

ランサムウェアとは?

最近のランサムウェア攻撃

ランサムウェアを防ぐ方法

×
  Feedback
このWebサイトでは、機能、分析、およびマーケティング上の目的でCookieを使用しています。本Webサイトの使用を継続した場合、Cookieの使用に同意したことになります。詳細については、Cookieについてのお知らせをご覧ください。
OK