WannaCryの感染経路とは。確認方法や対策方法のまとめ

PCに入り込むと自動的に広がっていくWannaCryは、どのような感染経路で広がっていくのでしょうか?WannaCryの仕組みとPCへの侵入の仕方を解説します。

WannaCryの感染経路

PCに入り込むと自動的に広がっていくWannaCryは、どのような感染経路で広がっていくのでしょうか?WannaCryの仕組みとPCへの侵入の仕方を解説します。

2つのマルウェアで構成されるWannaCry

WannaCryが特徴的なのは、別々の働きを持つ2つのマルウェアでできている、ということです。 1つ目は、ワームとして機能する部分で、WindowsのMS17-010の脆弱性を利用してPCに侵入します。2つ目は、PCに入り込んでから自動的に展開されるランサムウェアの部分です。 ランサムウェア部分には、動作に必要な部品を集めたファイルが格納されています。入り込んだPC内で展開し、データの暗号化解除のために身代金を要求する、ランサムウェアとして機能するのです。

アクションのいらないワーム型感染

WannaCryの被害が拡大した理由の1つに、ユーザーが何もしなくてもWannaCryが展開・感染される、ということがあります。 これまでのランサムウェアの感染は『メールの添付ファイルを開く』『不正なWebサイトに誘導される』など、何らかのアクションをした上で起きるものでした。 しかし、WannaCryは、ユーザーが何もしなくても感染するワームの機能を持っています。まるで意思のある生物のように、ネットワーク上を移動し、自動的に感染を広げていくのです。

SMBv1を狙った攻撃

WannaCryがデータを暗号化するときに攻撃するのは、SMBv1という部分です。この場所では、ファイル共有やプリンタ共有の決まりを規定しています。 脆弱性を狙うEternalBlueというマシンコードで攻撃します。SMBv1でバッファオーバーフローが起こるよう、メモリ領域をオーバーさせ、PC上のデータを書き換えるのです。

感染するとどうなる?

PCに入り込んだWannaCryは、どのような症状を引き起こすのでしょうか?データへの被害や、それによって業務にどのような支障が出るかなどを、解説します。

WannaCryの症状を知ろう

引き起こされるのは、データの暗号化です。データの末尾に『a.jpg.WNCRY』という文字列を追加し、見られない状態にします。 また、業務に使っているソフトウェアは、サービスが停止されて使用不可能に陥るのです。そのため、ソフトウェアの重要度によっては、業務が完全にストップしてしまうこともあるでしょう。 特徴的なのは、デスクトップに表示されるメッセージです。感染したことや、暗号化解除のための条件が表示されます。ランサムウェアなので、身代金の支払いが解除条件です。

自社PCを確認してみよう

入り込んでいるかどうか心配な場合には、PCのチェックをします。ただし、チェックする場所にはポイントがあります。ポイントを押さえて感染の有無を確認しましょう。

組織内での感染確認方法

感染の記録が残るのは、DNSサーバーのクエリログやファイアウォールのログです。DNSサーバーには、WannaCry関連のドメイン名が記録されている可能性があります。 自動的に感染拡大するときに使用する445/tcpポートにも、記録が残っているかもしれません。他のPCへの侵入は、自動生成したIPアドレスで実行しようとします。そのため、ランダムなIPアドレスからの接続が記録されている可能性があるのです。 イベントログやセキュリティログからも、侵入の有無をチェックできます。PCに入り込んだ後、サービスのインストールがされた記録や、プログラム実行の記録が残っているケースがあるのです。 WindowsOSの動作を、イベントログに記録する『Sysmon』というツールを導入していたら、ログに履歴が残る可能性があるので確認しましょう。

感染の追跡と特定

感染の有無だけでなく、追跡することも大切です。自動感染で社内・社外を問わず広がっていく性質があるWannaCryは、感染元を特定して隔離しなければいけないからです。 このとき通信ログをチェックして記録を探します。ウイルス対策ソフトやファイアウォールのログに通信記録が残っている可能性があるのです。 セキュリティ対策のためのEDR製品があれば、PCをスキャンし、侵入している機器の特定もできます。すみやかに機器を特定し、隔離しましょう。

WannaCryの対策方法

危険性の大きなマルウェアですが、正しく対策していれば脆弱性を狙われることはありません。具体的にどのような対策方法があるのか解説します。

セキュリティパッチの適用

脆弱性を狙って入り込むWannaCryですが、狙う部分は決まっています。Microsoft社が公表している『MS17-010』の部分です。すでにセキュリティパッチも出ていますので、それを適用するのが1番にできる対策といえます。 そのため、定期的なWindows Updateをしていれば、入り込まれることはまずありません。 アップデートの対象外になっているPCやルーターも感染する可能性があります。これらの機器の場合には、セキュリティパッチをダウンロードして適用しましょう。

ファイアウォールでポート445を閉じる

一時的な対策として、ファイアウォールでポート445を閉じるのも有効です。攻撃を遮断し感染を予防できます。 ただし、ポート445を閉じると、ネットワークのさまざまなサービスが使えなくなるので、あくまでも一時的な対策として使う、という点に注意しましょう。

まとめ

ワームとランサムウェアで構成されるWannaCryは、自動的に感染を拡大していきます。対策するには、感染経路を知ることが大切です。 侵入が心配な場合には、ログをチェックしてみましょう。事前にセキュリティパッチを適用しておくのも有効な対策です。 特徴と感染の仕方について知り、危険を回避しましょう。

紹介動画

企業を狙うサイバー攻撃は巧妙化。セキュリティソフトを入れておけば安心という時代は終わり、多層防御によるセキュリティ対策が急務です。多層防御とは?ポイントを含めご紹介します。

セキュリティ対策を怠ったために、取引先にまで、マルウェアを感染させてしまったら・・・。ほぼすべての中堅・中小企業がサイバー攻撃を受けていると言われています。専門ベンダへのアウトソース、インシデント時の緊急体制の整備、サイバー保険。セキュリティに関する業務を一人で抱え込まないためのポイントをご紹介します。

お役立ち資料を無料公開中

お客さまの課題やお困りごとに合わせた
豊富なラインナップをご用意

OCN光 IPoEサービス

  • 企業向けベストプラン

    OCN光 IPoEサービス
    ワイドプラン

    標準プランからさらに3倍の帯域設計(従来サービスの6倍)。
    ワイドプランならではの特長として、Windows Updateによる通信をそのほかの業務用の通信から分離。安定した通信が可能。

  • オンライン会議に最適

    OCN光 IPoEサービス
    ワイドプラン オプションサービス
    アプリコントロールA

    ワイドプランに加え、映像によるリモート会議・商談の通信を別経路に分離。
    ストレスフリーなコミュニケーション環境を実現します。

  • OCN光 IPoEサービス
    標準プラン

    従来サービスから2倍の収容設計!
    動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離。
    快適なインターネット接続環境を実現。

このページのトップへ

法人向けインターネット回線

IPoEサービス

契約社数11万社

OCNが選ばれる理由

最適なプランのご相談など
お気軽にご相談ください

お問い合わせ

法人向けインターネット
サービス詳細

詳細はこちら
契約社数11万社

OCNが選ばれる理由