SecurityInsight | セキュリティインサイト

トレンドマイクロ、ランサムウェア「WannaCry/Wcry」による国内への攻撃を16,436件確認

トレンドマイクロは5月16日、同社のブログでランサムウェア「WannaCry/Wcry」による国内への攻撃について発表した。その概要は以下のとおり。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」が集計したデータによると、トレンドマイクロが緊急事態と判断した5月12日21時42分(日本時間)の前後で、着弾している攻撃の数が大きく異なることが分かった。英国など各国での被害が明らかになり始めた後から攻撃の数は急速に拡大し、5月12日21時42分から5月15日9時00分までの間に確認、ブロックした攻撃は全世界で92,141件に上ることが分かった。

また、日本でも同期間内に13,645件の攻撃が確認されており、全体に占める割合では14.8%にのぼった。WannaCryの攻撃が日本時間で金曜の夜、つまり通常業務時間終了後の時間帯だったことから、週が明けての被害が懸念されていたが、月曜の始業前の時点まででも多くの侵入が確認されたことになる。

5月12日21時42分までの時点では、トレンドマイクロが確認、ブロックしたWannaCryによる攻撃は全世界で2,128件、うちトップは報道でも騒がれているイギリスで786件、一方日本への攻撃は105件にとどまっていた。事態が深刻になる前から合計すると、WannaCryによる攻撃は全世界に対して94,269件、日本に対しては13,750件確認、ブロックしている計算になる。

2016年に確認されたランサムウェア攻撃全体を見ると、拡散の手法の約79%がメール経由によるもの。しかし、WannaCryによる攻撃を観測しているかぎり、現時点ではメールベースでの大規模な攻撃が行なわれている兆候はトレンドマイクロでは確認していない。今回のサイバー攻撃は広範囲、かつ短期間に行なわれているが、トレンドマイクロではインターネット経由で直接グローバルIPアドレスに対して脆弱性を狙う攻撃が行なわれていたとみている。また、被害を最大化させるにあたっては、感染後に同じネットワーク上に存在するパソコンに今回悪用されているSMBの脆弱性がないかをスキャンして攻撃する「ワーム機能」がサイバー犯罪者によって活用されている。

この自動感染、自己増殖ともいえる「ワーム機能」を搭載するマルウェアが猛威を振るうというのは、近年ではまれに見るものだが、目的を達成させるためには効果的な手法を使うサイバー犯罪者の特徴を表しているかもしれない。今後も同じサイバー犯罪者による活動か模倣犯によるものかは別として、WannaCryによる活動は継続して行なわれる可能性も十分考えられる。

あるいは、今回利用されている攻撃手法を使って別のランサムウェアを仕掛ける攻撃、あるいはまた違ったマルウェアに感染させるような動きも十分考えられる。脆弱性に対するパッチ適用あるいはIPSによる代替手段の適用からバックアップの取得・保存に至るまで、さまざまな対策を速やかに適用することを推奨する。
 

関連リンク

プレスリリース