WannaCry
 感染したシステムの身代金要求表示のスクリーンショット(英語) | |
| 日付 | 2017年5月12日 - 2017年5月15日 (初期アウトブレイク)[1] |
|---|---|
| 場所 |  世界 |
| 別名 | WannaCrypt, WanaCrypt0r, WCRY |
| 種別 | サイバー攻撃 |
| テーマ | ランサムウェアによって暗号化されたハードディスクと300 - 600米ドル分のビットコインを要求 |
| 原因 | 脆弱性を利用したソースコードEternalBlue バックドアDoublePulsar |
| 関係者 | (推定)ラザルスグループ |
| 結果 | 20万人以上の23万台以上のコンピュータへの感染(Avast社)[2][3] |
WannaCry︵ワナクライ、WannaCrypt[4], WanaCrypt0r 2.0, Wanna Decryptor, WCryなどの別称あり[5]︶は、Microsoft Windowsを標的としたワーム型ランサムウェアである[6]。
2017年5月12日から大規模なサイバー攻撃が開始され、150か国の23万台以上のコンピュータに感染し、28言語で感染したコンピュータの身代金として暗号通貨ビットコインを要求する[7][8]。
被害を受けた国
コンピュータセキュリティ会社カスペルスキーによると、最も大きい影響を受けた4か国は、ロシア・ウクライナ・インド・台湾であるとしている[25]。
日本
●日立製作所[26]
●東日本旅客鉄道[27]
●イオントップバリュ[28]
●本田技研工業[注釈 1][29]
●日本マクドナルド[注釈 2][30]
アジア
●中国石油天然気[31]
●中華人民共和国公安部[32]
●孫逸仙大学︵中華人民共和国︶[33]
●韓国CJ CGV[34]
●インド西ベンガル州政府、ケーララ州政府、グジャラート州政府他[35][36]
●インドアーンドラ・プラデーシュ州警察[37]
●インドネシアHarapan Kita Hospital[33]
ロシア
●ロシア鉄道[38]
●ロシア内務省[39]
●ロシア貯蓄銀行[40]
ヨーロッパ
●ルノー︵フランス︶[41]
●ドイツ鉄道[42]
●ルーマニア外務省[43]
●自動車製造会社ダチア︵ルーマニア︶[44]
●ビルバオ・ビスカヤ・アルヘンタリア銀行︵スペイン︶[45]
●スペイン通信会社テレフォニカ[45]
●国民保健サービス︵イギリス︶
●英国日産自動車製造
南米
●ブラジル サン・パウロ州司法裁判所[46]
●ブラジル 携帯電話事業会社ヴィーヴォ[46]
●LATAM航空グループ[47]
北米
●フェデックス[48]
●モントリオール大学[49]
概要[編集]
確認されている最も古い感染例は、2017年4月25日にトレンドマイクロが確認した、Dropboxの短縮URLを悪用したものである[5]。同年5月12日頃より本格的に感染を拡大した[5]。このランサムウェアは、電子メール・ワーム・マルウェアなど複数の方法によって感染し、ユーロポールが﹁前例のない規模﹂と発表する[9]ほど大規模であった。 技術的には、主にWindowsのSMBv1の脆弱性MS17-010を利用して感染するものと見られている[10]。この脆弱性については、2017年3月14日時点でマイクロソフトがセキュリティパッチを公開している[11]。このパッチをインストールしなかったコンピュータが感染し、被害が拡大した[12]。被害にあったコンピュータの殆どのOSはWindows 7であった[13]。 サイバー攻撃当初、サポート終了済みの古いOSにはパッチが提供されないがゆえに、特に危険に晒されていたので、マイクロソフトではWindows XP、Windows Server 2003、8.1未適用のWindows 8にも、2017年5月13日に臨時のセキュリティパッチを提供するという異例の対応を行った[4][10]。背景[編集]
4月14日に、シャドー・ブローカーズを名乗る集団が、Microsoft Windowsの脆弱性MS17-010を標的とする攻撃ツール﹁Eternalblue﹂エクスプロイト、およびバックドアプログラム﹁Doublepulsar﹂などの複数の攻撃ツールをまとめた﹁FuzzBunchツールキット﹂をインターネット上で公開した[14][15]。 これらの攻撃ツールは、アメリカ国家安全保障局︵NSA︶が開発したもので[16][17]、NSAの一部と考えられているイクエーション・グループから情報漏洩したものとみられる[18][19]。﹁WannaCry﹂には﹁Eternalblue﹂と共に﹁Doublepulsar﹂が使われている[20][21][22]。また、シャドー・ブローカーズに先駆けて2016年3月から中国政府と関連するとされるハッカーグループ﹁Buckeye﹂はこれらのツールをNSAから攻撃を受けた際に盗み出して改良して一部に流出させていたことをセキュリティー大手シマンテックが発表している[23][24]。被害[編集]
影響[編集]
イギリス 国民保健サービスが攻撃を受け、MRIや血液貯蔵冷蔵庫など、7万台の機器が影響を受けた[50]。また、およそ40の医療施設でシステムが使えなくなるなど被害を受けた。攻撃を受けた病院では患者の情報にアクセスできなくなり、手術を中止したり、診察の予約をキャンセルしたほか、救急搬送されてきた患者を受け入れられず、ほかの病院へ搬送する事態となった[51][52]。 ヨーロッパ ルノーや英国日産自動車製造などの自動車製造工場では、製造停止の事態に陥った[53][54]。調査[編集]
キルスイッチ WannaCryに、ランサムウェアの拡散と活動を停止させる﹁キルスイッチ﹂となるURLが含まれているのを、感染したマシンからの活動を追跡していたセキュリティ研究者が発見した。この未登録のドメイン名に登録したところ、一時的に攻撃が停止した[55]。 この研究者は、アンチウイルスの研究者がソフトウェアを調査することがより困難になるように、インターネットから隔離されたマシン上で解析されるのを防ぐメカニズムとして、これがソフトウェアに含まれていると推測した。こういった技術は以前から存在している[56]。 しかし、その後ハッカーらは、このランサムウェアからキルスイッチをなくしたアップデート版を作成し、この新しい亜種は﹁Uiwix﹂という名称だと、セキュリティソフトウェア企業のHeimdal Securityは述べている[55]。一方、トレンドマイクロは、この新種はWannaCryと同じように脆弱性﹁MS17-010﹂を利用するランサムウェアだが、メモリ上で動作し、仮想マシンやサンドボックスを検知して活動を停止することから別ファミリーだと判断している[57]。 犯人の特定 コンピュータセキュリティ会社のカスペルスキーとシマンテックの両社は、このコードが過去にハッキンググループ﹁ラザルスグループ﹂︵北朝鮮とつながりがあるグループで、ソニー・ピクチャーズ・エンタテインメントへのハッキング事件や2016年のバングラデシュ銀行の不正送金に関与︶が使用していたものと類似していると述べている[58]。これは単にソースコードを参考にしたか、捜査を攪乱するための工作の可能性も指摘されている[58]。 身代金要求の中国語の文章はネイティブが記述、英語は非ネイティブによる記述、それ以外の言語については英語版をGoogle翻訳にかけた機械翻訳であると分析されている[59][60]。 2017年12月18日、アメリカ合衆国政府は北朝鮮が本ランサムウェアの作成に直接関与していると考えていることを発表した[61][62]が、北朝鮮は関与を否定している[63]。なお、状況証拠のみで決定的な根拠が提示されておらず、発表を疑問視するセキュリティ専門家もいる[64]。 復号 特定条件のWindows XPで、確実ではないが復号できたという報告も出ている[65]。身代金[編集]
感染後、暗号化されたデータの身代金として、最初は300ドル、起動から3日後に値上がりし600ドル相当のビットコインを要求する。このウイルスは、7日以内に振り込まなければデータを復元できなくするとポップアップウインドウ等に表示する[66]。 ところが実際には、5月17日現在、多くの人が300ドルを支払ったにもかかわらず、解除できたという報告はなされていない[67]。ネットワーク・セキュリティ会社チェック・ポイント・ソフトウェア・テクノロジーズは﹁WannaCryは、製作者に支払った人と関連付ける方法を持っていないようだ﹂と述べている[68]。これらの事実により、身代金を支払わないようアドバイスも行われている[67]。 カスペルスキーによると、身代金の振込先として少なくとも3つの口座が使われていることが確認されている[69]。2017年5月25日 7:40 UTCの時点で、計302の取引と49.60319 BTC︵2017年5月25日時点の相場で、126,742.48USD 日本円で約1400万円︶が振り込まれている[70]。脚注[編集]
注釈[編集]
出典[編集]
(一)^ “The WannaCry ransomware attack was temporarily halted. But it’s not over yet.”. 2017年6月10日閲覧。
(二)^ “Ransomware attack still looms in Australia as Government warns WannaCry threat not over” (英語). 2017年5月15日閲覧。
(三)^ Cameron, Dell. “Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It” (英語). 2017年5月13日閲覧。
(四)^ ab︵日本語︶﹃ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス﹄︵プレスリリース︶Microsoft、2017年5月14日。2017年5月18日閲覧。
(五)^ abc“世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた”. piyolog (2017年5月13日). 2017年5月18日閲覧。
(六)^ 勝村 幸博 (2017年7月20日). “ランサムウエアで“復権”するワーム、金儲けのツールに”. 日経NETWORK (日経BP) 2017年7月20日閲覧。
(七)^ “Cyber-attack: Europol says it was unprecedented in scale” (英語). BBC News. (2017年5月13日) 2017年5月13日閲覧。
(八)^ “'Unprecedented' cyberattack hits 200,000 in at least 150 countries, and the threat is escalating”. CNBC (2017年5月14日). 2017年5月16日閲覧。
(九)^ "Cyber-attack: Europol says it was unprecedented in scale". BBC ニュース, 2017-05-13. 2017年5月14日閲覧。
(十)^ abランサムウエア "WannaCrypt" に関する注意喚起 JPCERT-AT-2017-0020, JPCERT/CC, 2017-05-14. 2017年6月23日閲覧。
(11)^ “Microsoft Security Bulletin MS17-010 – Critical”. technet.microsoft.com (2017年3月14日). 2017年6月23日閲覧。
(12)^ John Leyden (2017年5月12日). “WannaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain”. The Register. 2017年6月23日閲覧。
(13)^ “Almost all WannaCry victims were running Windows 7”. theverge.com (2017年5月19日). 2017年6月23日閲覧。
(14)^ “攻撃ツール﹁Eternalblue﹂を悪用した攻撃と考えられるアクセスの観測について”. 警察庁. 2017年5月17日閲覧。
(15)^ “自らを拡散するWannaCryランサムウェアを分析”. ascii.jp. ascii.jp、McAfee Blog. 2017年5月17日閲覧。
(16)^ “NHS cyber attack: Edward Snowden says NSA should have prevented cyber attack”. The Independent 2017年5月13日閲覧。
(17)^ “NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history”. The Daily Telegraph. 2017年5月13日閲覧。
(18)^ Fox-Brewster, Thomas (16 February 2015). “Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'”. Forbes 2015年11月24日閲覧。.
(19)^ “Latest Shadow Brokers dump – owning SWIFT Alliance Access, Cisco and Windows”. Medium (2017年4月14日). 2017年4月15日閲覧。
(20)^ “NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history”. The Daily Telegraph. 2017年5月13日閲覧。
(21)^ Cameron, Dell (2017年5月13日). “Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It”. Gizmodo. 2017年5月15日閲覧。
(22)^ “How One Simple Trick Just Put Out That Huge Ransomware Fire”. Forbes (2017年4月24日). 2017年5月15日閲覧。
(23)^ “NSAのハッキングツール、大量流出以前から中国関与の集団が利用ーーSymantecが発表”. ITMedia (2019年5月8日). 2019年7月31日閲覧。
(24)^ “諜報機関のハッキングツールが敵のハッカーに分析され﹁再利用﹂されていたと判明”. GIGAZINE (2019年5月7日). 2019年7月31日閲覧。
(25)^ Jones, Sam (2017年5月14日). “Global alert to prepare for fresh cyber attacks”. Financial Times
(26)^ ﹁日立製作所 サイバー攻撃で社内システム一部に障害﹂﹃﹄、2017年5月15日。2017年5月15日閲覧。
(27)^ 国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染︵日本語︶. ︵2017年5月15日︶ 2017年5月16日閲覧。
(28)^ ﹁イオンのディスプレーも餌食に... ランサムウェア﹁WannaCry﹂街角でも増殖中﹂﹃﹄、2017年5月16日。2017年5月22日閲覧。
(29)^ ﹁ホンダが工場など複数拠点でWannaCry感染、一部の生産に影響﹂﹃﹄、2017年6月21日。2017年6月22日閲覧。
(30)^ ﹁世界で被害出したコンピューターウイルス 感染再拡大﹂﹃﹄、2017年7月12日。2017年7月12日閲覧。
(31)^ Larson, Selena (2017年5月12日). “Massive ransomware attack hits 99 countries”. CNN 2017年5月12日閲覧。
(32)^ Mimi Lau (2017年5月14日). “Chinese police and petrol stations hit by ransomware attack” (英語). South China Morning Post 2023年4月22日閲覧。
(33)^ ab“Global cyber attack: A look at some prominent victims” (スペイン語). elperiodico.com (2017年5月13日). 2017年5月14日閲覧。
(34)^ “Korean gov't computers safe from WannaCry attack”. The Korea Herald 2017年5月15日閲覧。
(35)^ “Ransomware WannaCry Surfaces In Kerala, Bengal: 10 Facts”. New Delhi Television Limited︵NDTV︶ 2017年5月15日閲覧。
(36)^ Sanjana Nambiar (2017年5月16日). “Hit by WannaCry ransomware, civic body in Mumbai suburb to take 3 more days to fix computers” (英語). Hindustn Times 2017年5月17日閲覧。
(37)^ “Andhra police computers hit by cyberattack” (英語). The Times of India (2017年5月13日). 2017年5月13日閲覧。
(38)^ “Компьютеры РЖД подверглись хакерской атаке и заражены вирусом”. Radio Liberty. 2017年5月13日閲覧。
(39)^ “Researcher 'accidentally' stops spread of unprecedented global cyberattack”. ABC News. 2017年5月13日閲覧。
(40)^ Vidal Liy, Macarena (2017年5月15日). “Putin culpa a los servicios secretos de EE UU por el virus ‘WannaCry’ que desencadenó el ciberataque mundial” (スペイン語). El País 2017年5月16日閲覧。
(41)^ “France’s Renault hit in worldwide ‘ransomware’ cyber attack” (スペイン語). france24.com (2017年5月13日). 2017年5月13日閲覧。
(42)^ “Weltweite Cyberattacke trifft Computer der Deutschen Bahn” (ドイツ語). faz.net (2017年5月13日). 2017年5月13日閲覧。
(43)^ ︵ルーマニア語︶ “UPDATE. Atac cibernetic la MAE. Cine sunt hackerii de elită care au falsificat o adresă NATO”. Libertatea (2017年5月12日). 2017年5月15日閲覧。
(44)^ ︵ルーマニア語︶ “Atacul cibernetic global a afectat și Uzina Dacia de la Mioveni. Renault a anunțat că a oprit producția și în Franța”. Pro TV (2017年5月13日). 2017年5月15日閲覧。
(45)^ ab“Un ataque informático masivo con 'ransomware' afecta a medio mundo” (スペイン語). elperiodico.com (2017年5月12日). 2017年5月13日閲覧。
(46)^ ab“WannaCry no Brasil e no mundo” (ポルトガル語). O Povo (2017年5月13日). 2017年5月13日閲覧。
(47)^ “LATAM Airlines también está alerta por ataque informático”. Fayerwayer. 2017年5月13日閲覧。
(48)^ “What is Wannacry and how can it be stopped?” (英語). Ft.com (2017年5月12日). 2017年5月13日閲覧。
(49)^ “Some University of Montreal computers hit with WannaCry virus”. The Globe and Mail. (2017年5月16日) 2017年5月16日閲覧。
(50)^ Ungoed-Thomas, Jon; Henry, Robin; Gadher, Dipesh (2017年5月14日). “Cyber-attack guides promoted on YouTube”. The Sunday Times 2017年5月14日閲覧。
(51)^ イギリス各地で国営の病院にサイバー攻撃︵NHK︶
(52)^ 99か国でサイバー攻撃、英の病院では手術中止︵TBS︶
(53)^ Sharman, Jon (2017年5月13日). “Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France”. www.independent.co.uk. 2017年5月13日閲覧。
(54)^ “Renault stops production at several plants after ransomware cyber attack as Nissan also hacked”. www.mirror.co.uk (2017年5月13日). 2017年5月13日閲覧。
(55)^ ab“ランサムウェア﹁WannaCry﹂、キルスイッチをなくした亜種﹁Uiwix﹂が登場”. japan.cnet.com (2017年5月16日). 2017年5月22日閲覧。
(56)^ MalwareTech (2017年5月13日). “How to Accidentally Stop a Global Cyber Attacks”. 2017年5月22日閲覧。
(57)^ “ランサムウェア﹁UIWIX﹂など﹁WannaCry/Wcry﹂の模倣犯が連続して出現”. blog.trendmicro.co.jp (2017年5月16日). 2017年5月22日閲覧。
(58)^ abSolong, Olivia (2017年5月15日). “WannaCry ransomware has links to North Korea, cybersecurity experts say”. The Guardian
(59)^ “﹁WannaCry﹂脅迫文は中国語ネイティブが執筆か--言語分析で新たな手がかり”. CNET Japan. (2017年5月26日) 2017年6月2日閲覧。
(60)^ Leyden, John (2017年5月26日). “WannaCrypt ransomware note likely written by Google Translate-using Chinese speakers”. The Register. 2017年5月26日閲覧。
(61)^ “﹁ワナクライ﹂サイバー攻撃に北朝鮮が関与と米政府=報道”. BBC. (2017年12月19日) 2017年12月30日閲覧。
(62)^ “ランサムウェア﹁WannaCry﹂には北朝鮮が関与、米政府が断定”. ITmedia. (2017年12月20日) 2017年12月30日閲覧。
(63)^ “北朝鮮、﹁ワナクライ﹂サイバー攻撃に関与という米国の主張を否定”. ニューズウィーク日本版. (2017年12月21日) 2017年12月22日閲覧。
(64)^ Computerworld (2017年12月27日). “﹁WannaCryに北朝鮮が関与﹂、米政府の主張を信じるべきか”. 日経BP 2017年12月30日閲覧。
(65)^ ランサムウェア﹁WannaCry﹂に感染したWindows XPの暗号解読に研究者が成功、解除ツール﹁Wannakey﹂を公開︵gigazine︶
(66)^ “サイバー攻撃 日本でも600か所以上感染 背景と対策は”. NHK. 2017年5月19日閲覧。
(67)^ ab“Ransomware attack hits 200,000 computers across the globe”. New Scientist. (May 17, 2017).
(68)^ “WannaCry – Paid Time Off?”. Check Point Software Technologies, Ltd.. 2017年5月19日閲覧。
(69)^ “大規模サイバー攻撃 ネット接続だけでウイルス侵入か”. NHK. 2017年5月19日閲覧。
(70)^ “@actual_ransom tweets”. Twitter. 2017年5月19日閲覧。
