SecurityInsight | セキュリティインサイト

シマンテック、「WannaCryランサムウェアについて知っておくべきこと」をブログで発表

シマンテックは5月14日、「WannaCryランサムウェアについて知っておくべきこと」を公式ブログで発表した。その概要は以下のとおり。

●これまでの経緯
2017年5月12日、Ransom.CryptXXX ファミリーの新しい亜種(Ransom.Wannacryとして検出される)が広い範囲に拡散し始め、特にヨーロッパで、膨大な数の組織に被害を与えている。

●WannaCryランサムウェアとは
WannaCryは、データファイルを暗号化したうえで、身代金として300ドルをビットコインで支払うようユーザーに要求する。身代金要求の文面には、3日が経過すると要求金額が2倍になり、7日が過ぎても支払いがなければ暗号化されたファイルが削除される、と書かれている。あわせて、身代金要求の文面が書かれた !Please Read Me!.txtという名前のファイルも投下される。

WannaCry は、以下の拡張子のファイルを暗号化し、ファイル名の末尾に.WCRYという拡張子を追加する。
.123、.3dm、.3ds、.3g2、.3gp、.602、.7z、.ARC、.PAQ、.accdb、.aes、.ai、.asc、.asf、

.asm、.asp、.avi、.backup、.bak、.bat、.bmp、.brd、.bz2、.cgm、.class、.cmd、.cpp、

.crt、.cs、.csr、.csv、.db、.dbf、.dch、.der、.dif、.dip、.djvu、.doc、.docb、.docm、

.docx、.dot、.dotm、.dotx、.dwg、.edb、.eml、.fla、.flv、.frm、.gif、.gpg、.gz、.hwp、

.ibd、.iso、.jar、.java、.jpeg、.jpg、.js、.jsp、.key、.lay、.lay6、.ldf、.m3u、.m4u、.max、

.mdb、.mdf、.mid、.mkv、.mml、.mov、.mp3、.mp4、.mpeg、.mpg、.msg、.myd、.myi、

.nef、.odb、.odg、.odp、.ods、.odt、.onetoc2、.ost、.otg、.otp、.ots、.ott、.p12、.pas、

.pdf、.pem、.pfx、.php、.pl、.png、.pot、.potm、.potx、.ppam、.pps、.ppsm、.ppsx、

.ppt、.pptm、.pptx、.ps1、.psd、.pst、.rar、.raw、.rb、.rtf、.sch、.sh、.sldm、.sldx、

.slk、.sln、.snt、.sql、.sqlite3、.sqlitedb、.stc、.std、.sti、.stw、.suo、.svg、.swf、.sxc、

.sxd、.sxi、.sxm、.sxw、.tar、.tbk、.tgz、.tif、.tiff、.txt、.uop、.uot、.vb、.vbs、.vcd、

.vdi、.vmdk、.vmx、.vob、.vsd、.vsdx、.wav、.wb2、.wk1、.wks、.wma、.wmv、.xlc、

.xlm、.xls、.xlsb、.xlsm、.xlsx、.xlt、.xltm、.xltx、.xlw、.zip

他のコンピューターへの拡散に利用されているのは、Microsoft WindowsコンピュータでSMBに存在するリモートコード実行の脆弱性(MS17-010)である。

●この脅威に対する備えはどうなっているか
Blue Coat Global Intelligence Network(GIN)を導入していれば、対応製品のすべてでWebベースの攻撃が自動的に検出される。シマンテック製品やNorton製品のユーザーは、複数のテクノロジーの組み合わせで、WannaCryから保護されている。

拡散を防ぐために、最新のWindowsセキュリティ更新プログラム、特にMS17-010を必ずインストールすること。

●誰が影響を受けるか
全世界で多数の組織がすでに影響を受けているが、特に被害が大きいのはヨーロッパ。

●これは標的型攻撃か
いいえ。現時点では、標的型攻撃とは考えられていない。ランサムウェアの攻撃は、無差別なのが特徴となっている。

●組織にとって問題が多いのはなぜか
WannaCryは、Microsoft Windowsに存在する既知の脆弱性を悪用して、企業ネットワーク内で自身を拡散する機能をもっている。ユーザーの操作はいっさい必要としない。最新のWindowsセキュリティ更新プログラムが適用されているコンピューターであれば、感染の心配はない。

●暗号化されたファイルは復元できるか
復号は現時点では不可能だが、シマンテックはその点についても調査を進めている。身代金を支払うことは勧めない。暗号化されてしまったファイルは、可能であればバックアップから復元すること。

●ランサムウェアから身を守るベストプラクティス
・ランサムウェアの新しい亜種は、頻繁に出現する。ランサムウェアに備えるために、セキュリティソフトウェアは常に最新状態に保つ。

・オペレーティングシステムをはじめ、あらゆるソフトウェアを常に最新の状態に保つ。ソフトウェア更新プログラムには、新しく見つかったセキュリティ脆弱性に対するパッチが含まれていることが多く、ランサムウェアを使う攻撃者による悪用を防ぐことになる。

・主な感染方法はメールである。心当たりのないメール、特にリンクが記載されていたり、ファイルが添付されていたりするメールには注意する。

・Microsoft Office文書を添付したうえ、マクロを有効にして内容を確認するよう勧めてくるメールには、特に警戒する。信頼できる差出人から送信された正規のメールであることが絶対に確実な場合を除き、マクロはけっして有効にせず、そのままメールを削除する。

・重要なデータのバックアップを作成しておくことが、ランサムウェア感染に対抗する最も有効な唯一の手段。攻撃者は重要なファイルを暗号化してアクセス不能にすることで、被害者につけ込みむが、バックアップコピーがあれば、感染を除去してからファイルを復元するだけで済む。ただし、バックアップは適切に保護すること、あるいは攻撃者に削除されないようにオフラインに保存することを心がける。

・クラウドサービスを利用すると、ランサムウェアによる被害を抑えることができる。前バージョンのファイルが保存されていることも多く、暗号化前の状態に「ロールバックする(元に戻す)」ことも可能だからである。
 

関連リンク

プレスリリース