そもそも何が起こっているのか?
世界規模のサイバー攻撃だとかでメディアが賑わっており、その数すでに10万台以上。深刻となっているこの脅威の実態は暗号化型のランサムウェア「WannaCrypt」と呼ばれています。
WindowsOSの脆弱性を悪用して感染させるものであり、感染したらほとんどのファイルが暗号化され使用不可。暗号化されたファイルを復号するためには、身代金をビットコインと呼ばれる仮想通貨で支払えとの内容が画面に表示されます(支払ったところで復号できる保証はありませんが)。
このようなファイルを暗号化して身代金を要求するランサムウェア自体はここ数年多く見受けられる攻撃手法ですが、今回はWindowsOSのファイル共有機能(SMBv1)に存在する脆弱性を悪用、WindowsパソコンやWindowsサーバーなどにネットワーク経由でランサムウェア自身の増殖を実行させるプログラムを組み合わせたのが今回の攻撃。トリガーは請求書等を装ったフィッシングメールの添付ファイルを開いたWindowsパソコン、そこからネットワーク上でファイル共有機能を有効化しているファイルサーバーやパソコンに感染しファイルというファイルを暗号化したものだったようです。そしてこの攻撃に利用されたソフトウェアはNSA(米国家安全保障局)からのリークを要因としていることでも話題を集めています。
どうして世界中で流行?
今回の大流行の要因とされるWindowsOSの脆弱性については、マイクロソフト社より3月には緊急パッチが提供されていました。サポート期間中であるWindowsOSできちんとWindowsUpdateを適用していれば感染しなかったはずでしょう。しかし摘要していないパソコンやサポート期間が終了したWindowsOSの利用が感染を拡大させました。医療機関での診療中止や工場での生産中止など被害が重大なため、マイクロソフト社はサポート終了済みのOSに異例の措置として修正プログラムをリリースしました。
どうしてサポートが終了しても使い続けるのか
理由は様々です。OSや機器の入替にはコストだけでなく事業自体へも影響を与えるため計画的に行う必要があります。またそのOS上で稼働している様々なシステムも対応が必要になります。組織の規模が大きくなればなるほど、それらの展開には時間も予算もかかるため、何か支障がありサポート終了を迎えた場合もあるでしょう。またいくらシステム管理者が申し出てもセキュリティリスクとその被害規模や影響へ組織の認識が薄いため、思うように計画が進行できず今回の事態を招いたケースもあったのかと思います。
サポート期間中でも感染?
WindowsUpdateによるセキュリティ更新プログラムを適用していない場合は、サポート期間中でも感染するリスクが高くなります。こちらも組織によっては社内で利用している様々なシステムへの影響を検証したうえで更新プログラムを配布し適用するなどの理由により、WindowsUpdate自体が制御されている場合もあります。小規模の組織においてはユーザーに委ねているケースも多々見受けられますが、自動更新を有効にしていないなどでアップデートを怠った場合や有効なウィルス対策が施されていない場合なども感染するリスクが高くなります。
感染しないために
なにはともあれ、感染しないことに越したことはありません。普段から気を付けることと、セキュリティへの意識を少しだけ持ってもらえばそれほど恐れる必要はないはずです。感染した場合は多くの時間や費用が必要になります。そして大切なファイルを損失するリスクを考えれば、これらの防御策に必要な時間はわずかなものでしょう。
アップデートは脊髄反射で実施
最近のOSは更新プログラムの適用を自動で行うものがほとんどです。OSアップデートの通知が表示されたらすぐにアップデートしましょう。再起動やそれに待たせれることが嫌だからと後回しにする方もいますが、攻撃者にしてみればその隙すら大好物のはずです。またアップデートによる様々な影響が心配な方もいらっしゃるでしょう。確かにそれも心配ですがその影響と、感染し踏み台にされて組織全体に感染し事業に支障を与える影響の大きさを比較すれば躊躇する理由はないでしょう。
安易にメールは開かない
身に覚えのない送信者のメールおよび添付ファイルを安易に開かないことは鉄則です。多く見受けられる手法はランサムウェアなどのウィルスをダウンロードさせるリンクをを含むメール本文や悪意のあるプログラムを開いただけで自動実行する添付ファイルなどを送ってきます。大手企業や銀行などの金融機関、政府機関などを装う場合のほか、ご利用のメールアドレスと同じドメインを装い同じ組織と思わせるもの、取引先企業や友人、家族を装うものなど手段を問いません。すべて疑ってかかりましょう。
セキュリティソフトウェアは迷わず利用すべき
セキュリティベンダーの提供するセキュリティソフトウェアの適切な利用は、ランサムウェアなどの悪意のあるソフトウェアに感染する機会を減少させます。一部の有用なセキュリティソフトはランサムウェア感染の多くのトリガーとなるフィッシングメールを判別し、該当メールを受信と同時に隔離し添付ファイルを無害化するなどの機能を提供します。
組織の規模が大きくなるほど、ウィルス感染などへのリスクや感染した際の被害も比例して大きくなります。セキュリティソフトウェアの利用は、OS標準のウィルス対策以上の強力なセキュリティが得られます。
バックアップが一番効果的
ランサムウェアを含むウィルスは無数に存在するため、すべての対策が有効であるかは保証できるものではありません。今回話題になっているランサムウェアも復号できる回復ツールの存在はいまだ確認できておりません。これまでも大手セキュリティベンダーはランサムウェアに対応した回復ツールを提供してきましたが、いずれもすべてのランサムウェアに対応はしておりません。それくらい亜種も多く存在しているものなのです。
なによりも効果的なのはバックアップを取ることです。重要なファイルであればファイル単位で複製してのバックアップで、ファイル自体の損失は防げるでしょう。最近のWindowsOSのほとんどはWindowsバックアップという優れたバックアップの機能を提供しています。
Windows7のバックアップ
Windows8.1のバックアップ
Windows10のバックアップ
万が一ランサムウェアに感染しすべてのファイルが暗号化されたとしても有効なWindowsバックアップが存在すれば、かなりの短時間で感染前の状態に復元しすぐに利用が可能になります。ただし、今回のようなネットワーク上で自己複製する感染機能を持っているウィルスはバックアップ先デバイスへも感染します。バックアップ先デバイスはバックアップ時以外はシステムから抜いておきましょう。
感染したみたいです
まずはネットワークから切り離して他への感染を防ぎましょう。ランサムウェアに感染した場合、利用しているパソコン上のほとんどのファイルが暗号化されて利用できなくなります。世界的に共通に利用されている多数のファイルを対象として感染させているため、独自のファイル形式や日本製ソフトの一部のファイルなどは感染しないことを確認していますが、OS利用のファイルももちろん感染するため、パソコンとして利用することが難しくなります。また、ビットコインなど攻撃者の要求に応じても復号できる保証はありませんのでお勧めできません。
バックアップがある場合は、悩まずそこから復旧することが最短の復旧方法になるでしょう。
バックアップがない場合、すべてのランサムウェアには対応できませんが復号ツールを試してみましょう。セキュリティベンダーや欧州刑事警察機構サイバー犯罪対策機関などによるプロジェクト「No More Ransom」が復号ツールを提供しています。外国語のWebサイトですが、日本サイバー犯罪対策センターのWebサイトにて使い方などが詳しく紹介されています。
日本サイバー犯罪対策センター ランサムウェア対策について
