WannaCryとはどんなもの?感染症状や感染の確認方法
ランサムウェアとワームの機能を持つWannaCryは、どのような特徴を持つマルウェアなのでしょうか?感染したときの症状や、追跡の仕方について解説します。正しい知識を身につけ、適切に対策できるようにしましょう。
この記事の目次
WannaCryとは
多くの企業に影響を与えたWannaCryは、どのような特徴があるのでしょうか?構成や攻撃の仕方について解説します。特徴を理解し、正しい対策に役立てましょう。
ランサムウェアとワームで構成
一番の特徴は、ランサムウェアとワームで構成されているという点です。 ランサムウェアとは、PC内のデータを暗号化し身代金(ランサム)を要求するマルウェアのことをいいます。身代金を支払わなければ、最終的にデータは見られなくなってしまうのです。 ワームは自動的に感染を拡げていく特徴があります。ウイルスとの違いは、単独で存在できることです。プログラムに寄生することがありません。 PCに侵入するときには、まずワーム機能を持つ『ドロッパー1』がWindowsネットワークにあるMS17-010という脆弱性を狙って侵入します。 侵入するとランサムウェアの機能を持つ『ドロッパー2』が自動的に実行されるのです。
SMBv1が攻撃される
MS17-010の脆弱性を狙うことは知られていますが、攻撃はSMBv1に対して行われます。SMBv1は、ファイル共有やプリンタ共有のための決まりごとです。 ここに、EternalBlueという脆弱性を利用したマシンコードで攻撃します。その攻撃により、SMBv1のメモリ領域を超えバグを起こし、バッファオーバーフローを発生させるのです。そうして、PC上のデータを書き換えてしまいます。
WannaCryに感染すると
では、実際に感染すると、PCにはどのようなことが起こり、社内ネットワークにどういった影響を及ぼすのでしょうか?引き起こされる被害について解説します。
自動感染活動により拡がる
PC1台に侵入してデータを暗号化して終わり、とはいかないのが被害の拡がる理由です。感染したPCを中心に、社内・社外問わずどんどん被害が拡大していきます。 拡大していくときには、IPアドレスを自動生成し、インターネット通信で次に侵入するPCを見つけ出します。 自動生成したのが社内のIPアドレスであれば社内PCに、社外のIPアドレスであれば外部のPCに飛び火していくのです。 また、IPアドレスの自動生成によって入り込むPCを探し出すため、通常のマルウェアで有効なセグメント分けでは対応できません。部署ごとにネットワークを分けていても、侵入される可能性があることに注意しましょう。
追跡と感染経路の特定
どこから侵入し、どういった経路で拡大していったのかルートを特定し、感染機器を隔離する必要もあります。 ただし、セキュリティログをチェックしても追跡はできません。そこで、通信ログやファイアウォールのログに通信記録がないか確認します。 こうした追跡できるログが取得されていない場合には、Microsoft社の『Sysmon』を導入しましょう。WannaCryが利用する445/tcp通信のログを取得できます。 感染したPCかチェックするには、EDR製品が役立つかもしれません。感染時にインストールされるサービスが、イベントID7045で記録されている可能性があるためです。
ファイルが暗号化される
PCに侵入したWannaCryは、データを暗号化します。その数は170種類以上です。ほとんどのデータは、末尾に『a.jpg.WNCRY』という文字列が追加され、閲覧できなくなるでしょう。 さらに深刻なのは、業務用ソフトウェアが使えなくなる被害です。サービスが停止されてしまい、業務の遂行が不可能な状態に陥ります。 デスクトップには、感染したことと、暗号化の解除には身代金の支払いが必要なことが表示されます。身代金を支払わなかった場合、暗号化されたデータは閲覧できません。
自社PCが影響を受けているかの確認方法
データが暗号化されていなくても、自社PCが影響を受けている可能性があります。複数の方法でPCをチェックし、安全に使えるかどうか確認しましょう。
通信ログでの確認方法
まず確認するのは、DNSサーバーのクエリログです。WannaCryについてのドメイン名の記録がされていないか、チェックしましょう。 ファイアウォールのログからも、感染の有無を確認できます。自動で拡がっていくときに、445/tcpポートを使って、自動生成したIPアドレスにアクセスしようとするからです。 そのため、ファイアウォールのログに、自動生成されたと思われるランダムなIPアドレスで445/tcp接続が記録されていると、WannaCryの影響が疑われます。
IOC情報を利用したスキャンでの確認方法
脅威がそこに存在する記録をIOC情報といいます。PCに残る記録をチェックして感染機器かどうか判別するのです。 まず、チェックするのが、イベントログです。WannaCryが入り込むと、サービスのインストールが始まります。すると『イベントID 7045』でインストールが記録されている可能性があるのです。 セキュリティログも確認しましょう。『イベントID4688』の取得を設定していれば、関連するプログラムの実行の痕跡が残っているかもしれません。 WindowsOSの動作をイベントログに記録するツール『Sysmon』のログにも履歴が残る可能性があります。
感染機器を追跡する方法
感染元になったPCから445/tcp接続で拡がっていく特徴があるため、感染したPCが見つかったら、感染元PCを特定し隔離しなければいけません。そのためには、感染機器の追跡をします。 ただし、セキュリティログを確認しても、ログオン成功・失敗・試行、どのログも記録されていません。 そこで、追跡には通信ログをチェックします。もしくは、端末のセキュリティ対策に使用されるEDR製品のスキャンで、感染機器を見つけられることもあるでしょう。Sysmonツールのログで、445/tcp接続を追跡するのも有効です。
まとめ
ランサムウェアとワームの機能を併せ持つWannaCryは、PCのデータを暗号化するだけでなく、自動的に感染拡大していきます。 そのため、侵入が疑われる場合には、感染元を特定し適切に隔離してください。解説した特徴・感染の確認方法・追跡方法を参考に、正しく対処しましょう。
紹介動画
忍び寄るサイバー攻撃 ハッカー集団にあなたは対抗できますか?
企業を狙うサイバー攻撃は巧妙化。セキュリティソフトを入れておけば安心という時代は終わり、多層防御によるセキュリティ対策が急務です。多層防御とは?ポイントを含めご紹介します。
多様化するサイバー攻撃。セキュリティソフトを入れておけば安心ですか?
セキュリティ対策を怠ったために、取引先にまで、マルウェアを感染させてしまったら・・・。ほぼすべての中堅・中小企業がサイバー攻撃を受けていると言われています。専門ベンダへのアウトソース、インシデント時の緊急体制の整備、サイバー保険。セキュリティに関する業務を一人で抱え込まないためのポイントをご紹介します。
お客さまの課題やお困りごとに合わせた
豊富なラインナップをご用意
OCN光 IPoEサービス
-
企業向けベストプラン
OCN光 IPoEサービス
ワイドプラン標準プランからさらに3倍の帯域設計(従来サービスの6倍)。
ワイドプランならではの特長として、Windows Updateによる通信をそのほかの業務用の通信から分離。安定した通信が可能。 -
オンライン会議に最適
OCN光 IPoEサービス
ワイドプラン オプションサービス
アプリコントロールAワイドプランに加え、映像によるリモート会議・商談の通信を別経路に分離。
ストレスフリーなコミュニケーション環境を実現します。 -
OCN光 IPoEサービス
標準プラン従来サービスから2倍の収容設計!
動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離。
快適なインターネット接続環境を実現。