情報セキュリティの脅威はすぐそこに

「WannaCry」活感動染を防ぐ、たったひとつの冴えたやりかた

この1ヶ月、特に後半は「WannaCry」が猛威を振るったという話題で持ちきりでした。改めて経緯と対策についておさらいしておきたいと思います。

最初に観測されたのは4月25日と言われていますが、本格的な感染の拡大が広がったのは5月12日頃からでした。感染するとPC内のファイルを暗号化してしまい、解除のための身代金として300~600ドル程度のビットコインを要求してくるという、ここ数年流行しているランサムウェアのような挙動をします。ただし身代金を支払ったとしても暗号化されたファイルの解除に成功したという報告は皆無のようです。

感染の拡大経路として、当初Dropbox経由や標的型メールなどが噂されましたが、最大の要因は今年3月に修正パッチが公開されているSMB(Windowsで使用されているファイルやプリンター共有サービスのための通信プロトコル)の脆弱性を利用したものと言われています。

 

これを受けてMicrosoftはサポート終了済みのWindows XPなどに対しても修正パッチを公開するという異例の対応を行っています。

全世界で150カ国23万台のPCが感染したと言われており、ヨーロッパでは医療機関のシステムが影響を受けて診察や手術が中止されたり、自動車工場のシステムが影響を受けて生産ラインが停止するなど、大きな被害が出ています。

一方で日本国内では相対的に感染率が低いとも言われており、これは日本で広く普及しているブロードバンドルーターが、本来LAN内でのフォルダ共有に使われるSMBの通信をデフォルトでブロックする仕様にとっていることが多いことが理由として挙げられています。

また犯人像について、WannaCryのソースコードに北朝鮮由来のものがあり朝鮮人民軍のサイバー攻撃部隊の関与が囁かれたり、攻撃手法そのものはアメリカ国家安全保障局(NSA)が開発し漏洩したものがベースにされているとも噂されており、「サイバー戦争」と言った側面も垣間見えています。

 

さて、この被害の拡大をいかにすれば防ぐことができたのかは実にシンプルです。

今年3月に公開・修正されているWindowsの脆弱性を利用されているため、いわゆる「ゼロデイ攻撃」のような類ではなく、1ヶ月以上の猶予があったことになります。

定期的に  を実施して入れば防げただけに、逆の見方をするとそれを実施していないシステムや端末がそれだけ多かったという証左なのかもしれません。また前述の日本での例にもある通り、ファイアウォールの設定やネットワーク構成によっては容易に防げる可能性も大いにあったと言えそうです。

大きなシステムでは互換性や安定性の問題から、また個人レベルでは”面倒くさい”などの理由により、敬遠されることも多いWindows Updateですが、改めて適切なタイミングでのアップデート対応を見直す機会になればと思います。