ランサムウェア「WannaCry(ワナクライ)」とは?
2017年5月に、全世界で猛威を振るったランサムウェアの「WannaCry(ワナクライ)」。全世界で30万台以上のコンピュータが、この身代金要求型ウイルスが原因で被害にあったと言われています。WannaCryを利用したサイバー犯罪者たちはファイルを暗号化して読めなくさせ、復号の条件として300ドルから600ドル分のビットコインを要求し、世界規模で莫大な損害をもたらしました。
目次
目次
WannaCryという名前は、このランサムウェアに暗号化されたファイルが「.wncry」や「.wcry」という拡張子を持つことに由来していますが、まさに被害者泣かせのランサムウェアなのです。
この記事ではランサムウェアWannaCryの特徴や攻撃の仕組み、そしてこの種のサイバー攻撃から身を守る方法について解説します。
WannaCryの仕組み
WannaCry(ワナクライ)は、ファイルを暗号化して使用できないようにする暗号化型ランサムウェアの一種で、さらに自己複製できるワーム型のマルウェアでもあります。
WannaCryを理解するためには、まずランサムウェアの意味について理解する必要があります。基本的にランサムウェアは、システムの動作に不可欠なファイルや、デバイスに保存されている文書、またはその両方を暗号化するマルウェアの一種です。ランサムウェアの攻撃を受けると、ユーザーは会社の運営に欠かせない重要なファイル(仕事の文書や、データベースなど)にアクセスできなくなります。
そして、ハッカーはターゲットに「データの暗号化を解除するためには、身代金を支払う必要がある」と脅します。これはランサムウェアの特徴で、ターゲットに直接身代金を要求するのです。
WannaCryの主な感染経路
WannaCryはウイルスとして捉えられることがありますが、上記でも説明したようにワームで構成されています。ウイルスとワームは、どちらもパソコンに被害を与える悪質なプログラムですが、違いがあります。
フィッシングなどのウイルスを利用した詐欺では、プログラムやファイルにウイルスを付着させ、ボットネットを送り込んで、あるコンピュータから別のコンピュータに感染させることで感染が拡大するのに対し、ワームはシステムのファイルや情報の転送機能を利用するため、人間の手を借りずに動くことができ、自己複製が可能という特徴があります。つまり、1台のコンピュータから1個のワームだけでなく、数百個、数千個のコピーを送ることができ、莫大な損害を与えることができるのです。
WannaCryが一気に広がった理由は、このワームの特徴にあります。今までのランサムウェアの多くは、メールの添付ファイルを開いたり、不正なウェブサイトにアクセスしたりと、ユーザーが何らかの行動を起こすことで感染を広げていましたが、WannaCryは、MS17-010(Microsoft Windows SMBサーバー)の脆弱性を悪用する「EternalBlue」という攻撃ツールを用いることで、ユーザーが何も操作しなくても自動的に感染を広げていきました。
WannaCryの発生源
WannaCry攻撃の実際の発生源はまだ明らかになっていません。ただし、GoogleやMicrosoftなどによる調査では、北朝鮮と繋がりがあると言われているLazarus Groupによるソニーやバングラデシュ銀行に対する過去の攻撃がWannaCry攻撃と類似していることから、WannaCryウイルスは北朝鮮が開発してばら撒いた可能性があると指摘されています。
2017年のWannaCryによるサイバー攻撃の被害例
2017年の5月12日以降に、世界中で大流行したWannaCryによる被害は、日本国内では日立製作所やホンダなどで約600カ所、世界では150カ国以上の病院や鉄道会社などの団体・企業がターゲットになりました。この攻撃が原因で、システムが使えなくなる障害が発生したところもありました。
WannaCryに感染したパソコン内にあるファイルは暗号化されて解読不可能になり、ファイルを復元するために仮想通貨のビットコインで身代金を支払うように、サイバー犯罪者によって要求されるという手口が一般的です。
被害額は世界全体で40億ドル(約4600億円)に及んだと推計されていますが、多くの人は身代金を支払ってもデータを復旧できなかったとされています。
WannaCryはまだ脅威なのか?
WannaCryマルウェアは現在も稼働しており、世界中のさまざまなサイバー犯罪グループまたは個人によって使用されています。Windows OSを搭載しているほとんどのコンピュータでは、セキュリティパッチが適用されているため、WannaCryが本来の形で感染することは困難ですが、WannaCryのコードを改変して、他の脆弱性を悪用するために使用しているサイバー犯罪者もいます。
しかし、現在でもさまざまな理由からセキュリティパッチが適用されていない多くのコンピュータが存在しており、今後もその脆弱性を悪用される可能性が高いと考えられています。
ランサムウェア「WannaCry」に感染していることを確認する方法
お使いのパソコンがWannaCryに感染しているかの判断は簡単です。WannaCryに感染している場合、パソコン内にあるデータが暗号化されており、ファイルには「.wncry」や「.wcry」という拡張子がついています。
また、WannaCryに感染したら、パソコンのデスクトップの壁紙が黒に変わり、赤文字でファイルを暗号化したという文章が英語で表示されます。その後、パソコンのユーザーが使う言語に合わせて、身代金を振り込むことを要求する内容の脅迫文がポップアップで表示されます。脅迫文は日本語にも対応しています。
WannaCryを駆除する方法
WannaCryは、ウイルス対策ソフトを利用したり、OSを再インストールしたりすれば駆除できますが、一度WannaCryによって暗号化されたファイルを復元することはほぼ不可能と言われています。念には念を入れて、外付けHDDやUSBなどにデータのバックアップを保存しておきましょう。
また、WannaCryによる被害に遭った場合、ハッカーが要求する身代金は支払わないようにしましょう。一度ハッカーに身代金を支払ってしまうと、将来的にサイバー犯罪を助長することになるからです。
WannaCryから身を守る方法
WannaCryや類似のランサムウェアから自分の身を守るには、いくつかの対策があります。その内容は以下の通りです。
ソフトウェアやOSを常に最新の状態に保つ
WannaCryによる攻撃は、マイクロソフトが過去に検出し、パッチを適用していたWindowsデバイスの脆弱性を悪用したため、大きく広がってしまいました。WindowsのOSを最新版にアップデートしていたコンピュータは、このサイバー攻撃から免れることができています。そのため、コンピュータのOSは常に最新版にアップデートしておきましょう。
Windowsパソコンをお使いの場合、WannaCryは、最新のWindows 10や11にアップデートすれば恐れる必要はありません。WannaCryはMacOSはターゲットにしていませんが、Macユーザーを狙った類似のランサムウェアも発見されているので、Macパソコンをお使いの場合でも最新のOSにアップデートするようにしましょう。
不審なメールの添付ファイルを開かない
ランサムウェアは、怪しげなウェブサイトや宛先がわからないメールなど、得体の知れない第三者からファイルをダウンロードすると、簡単に感染します。そのため、たとえコンピュータにアンチウイルスソフトがインストールされていても、マルウェアのリスクを最小限に抑えるために、怪しいメールの添付ファイルを開けることは可能な限り避けるべきです。
信頼できないWebサイトにはアクセスしない
信頼できない相手からのメールと同様に、信頼できないウェブサイトのファイルをダウンロードしないのはもちろんのこと、サイト自体にアクセスしないようにしましょう。怪しいWebサイトからダウンロードしたファイルにランサムウェアが組み込まれているケースが多いからです。
また、パソコンのOSだけでなく、Webブラウザの脆弱性を修正するために、Webブラウザも最新のものにアップデートしておきましょう。
重要なデータのバックアップを取る
上記でも説明したように、外付けHDDやUSBを利用して、定期的にデータのバックアップを取るようにしましょう。そうすれば、万が一ランサムウェアに感染したとしても、データを復旧することができます。しかし、外付けストレージを利用する場合でも、常にパソコンに接続した状態だと、ランサムウェアの被害に遭う可能性があるので、バックアップを取った後は必ず取り外すようにしてください。
公共Wi-Fiに接続するときはVPNを利用する
カフェやホテル、空港など、無料で利用できる公共Wi-Fiに接続すると、サイバー攻撃を受けるリスクが高まります。
WannaCryなどのランサムウェアに感染しないようにするためには、公共Wi-Fiを極力利用しないようにするか、どうしても利用する必要がある場合は、VPNを導入しましょう。VPNは、インターネット回線上に仮想の専用線を構築することで、セキュリティを向上させ、安全に通信できる仕組みです。
マルウェア対策をする
NordVPNが提供する脅威対策Proなどのマルウェア対策機能を有効にするのも、ランサムウェアから身を守る一つの手です。脅威対策Proは、ダウンロードファイルがマルウェアに感染していないかチェックするためにスキャンして、ファイル内にマルウェアを検出した場合は、デバイスに被害が及ぶ前に即座に削除します。