WannaCryの感染経路とは。確認方法や対策方法のまとめ
PCに入り込むと自動的に広がっていくWannaCryは、どのような感染経路で広がっていくのでしょうか?WannaCryの仕組みとPCへの侵入の仕方を解説します。
この記事の目次
- ・ WannaCryの感染経路
- ・ 感染するとどうなる?
- ・ 自社PCを確認してみよう
- ・ WannaCryの対策方法
- ・ まとめ
WannaCryの感染経路
PCに入り込むと自動的に広がっていくWannaCryは、どのような感染経路で広がっていくのでしょうか?WannaCryの仕組みとPCへの侵入の仕方を解説します。
2つのマルウェアで構成されるWannaCry
WannaCryが特徴的なのは、別々の働きを持つ2つのマルウェアでできている、ということです。 1つ目は、ワームとして機能する部分で、WindowsのMS17-010の脆弱性を利用してPCに侵入します。2つ目は、PCに入り込んでから自動的に展開されるランサムウェアの部分です。 ランサムウェア部分には、動作に必要な部品を集めたファイルが格納されています。入り込んだPC内で展開し、データの暗号化解除のために身代金を要求する、ランサムウェアとして機能するのです。
アクションのいらないワーム型感染
WannaCryの被害が拡大した理由の1つに、ユーザーが何もしなくてもWannaCryが展開・感染される、ということがあります。 これまでのランサムウェアの感染は『メールの添付ファイルを開く』『不正なWebサイトに誘導される』など、何らかのアクションをした上で起きるものでした。 しかし、WannaCryは、ユーザーが何もしなくても感染するワームの機能を持っています。まるで意思のある生物のように、ネットワーク上を移動し、自動的に感染を広げていくのです。
SMBv1を狙った攻撃
WannaCryがデータを暗号化するときに攻撃するのは、SMBv1という部分です。この場所では、ファイル共有やプリンタ共有の決まりを規定しています。 脆弱性を狙うEternalBlueというマシンコードで攻撃します。SMBv1でバッファオーバーフローが起こるよう、メモリ領域をオーバーさせ、PC上のデータを書き換えるのです。
感染するとどうなる?
PCに入り込んだWannaCryは、どのような症状を引き起こすのでしょうか?データへの被害や、それによって業務にどのような支障が出るかなどを、解説します。
WannaCryの症状を知ろう
引き起こされるのは、データの暗号化です。データの末尾に『a.jpg.WNCRY』という文字列を追加し、見られない状態にします。 また、業務に使っているソフトウェアは、サービスが停止されて使用不可能に陥るのです。そのため、ソフトウェアの重要度によっては、業務が完全にストップしてしまうこともあるでしょう。 特徴的なのは、デスクトップに表示されるメッセージです。感染したことや、暗号化解除のための条件が表示されます。ランサムウェアなので、身代金の支払いが解除条件です。
自社PCを確認してみよう
入り込んでいるかどうか心配な場合には、PCのチェックをします。ただし、チェックする場所にはポイントがあります。ポイントを押さえて感染の有無を確認しましょう。
組織内での感染確認方法
感染の記録が残るのは、DNSサーバーのクエリログやファイアウォールのログです。DNSサーバーには、WannaCry関連のドメイン名が記録されている可能性があります。 自動的に感染拡大するときに使用する445/tcpポートにも、記録が残っているかもしれません。他のPCへの侵入は、自動生成したIPアドレスで実行しようとします。そのため、ランダムなIPアドレスからの接続が記録されている可能性があるのです。 イベントログやセキュリティログからも、侵入の有無をチェックできます。PCに入り込んだ後、サービスのインストールがされた記録や、プログラム実行の記録が残っているケースがあるのです。 WindowsOSの動作を、イベントログに記録する『Sysmon』というツールを導入していたら、ログに履歴が残る可能性があるので確認しましょう。
感染の追跡と特定
感染の有無だけでなく、追跡することも大切です。自動感染で社内・社外を問わず広がっていく性質があるWannaCryは、感染元を特定して隔離しなければいけないからです。 このとき通信ログをチェックして記録を探します。ウイルス対策ソフトやファイアウォールのログに通信記録が残っている可能性があるのです。 セキュリティ対策のためのEDR製品があれば、PCをスキャンし、侵入している機器の特定もできます。すみやかに機器を特定し、隔離しましょう。
WannaCryの対策方法
危険性の大きなマルウェアですが、正しく対策していれば脆弱性を狙われることはありません。具体的にどのような対策方法があるのか解説します。
セキュリティパッチの適用
脆弱性を狙って入り込むWannaCryですが、狙う部分は決まっています。Microsoft社が公表している『MS17-010』の部分です。すでにセキュリティパッチも出ていますので、それを適用するのが1番にできる対策といえます。 そのため、定期的なWindows Updateをしていれば、入り込まれることはまずありません。 アップデートの対象外になっているPCやルーターも感染する可能性があります。これらの機器の場合には、セキュリティパッチをダウンロードして適用しましょう。
ファイアウォールでポート445を閉じる
一時的な対策として、ファイアウォールでポート445を閉じるのも有効です。攻撃を遮断し感染を予防できます。 ただし、ポート445を閉じると、ネットワークのさまざまなサービスが使えなくなるので、あくまでも一時的な対策として使う、という点に注意しましょう。
まとめ
ワームとランサムウェアで構成されるWannaCryは、自動的に感染を拡大していきます。対策するには、感染経路を知ることが大切です。 侵入が心配な場合には、ログをチェックしてみましょう。事前にセキュリティパッチを適用しておくのも有効な対策です。 特徴と感染の仕方について知り、危険を回避しましょう。
紹介動画
忍び寄るサイバー攻撃 ハッカー集団にあなたは対抗できますか?
企業を狙うサイバー攻撃は巧妙化。セキュリティソフトを入れておけば安心という時代は終わり、多層防御によるセキュリティ対策が急務です。多層防御とは?ポイントを含めご紹介します。
多様化するサイバー攻撃。セキュリティソフトを入れておけば安心ですか?
セキュリティ対策を怠ったために、取引先にまで、マルウェアを感染させてしまったら・・・。ほぼすべての中堅・中小企業がサイバー攻撃を受けていると言われています。専門ベンダへのアウトソース、インシデント時の緊急体制の整備、サイバー保険。セキュリティに関する業務を一人で抱え込まないためのポイントをご紹介します。
お客さまの課題やお困りごとに合わせた
豊富なラインナップをご用意
OCN光 IPoEサービス
-
企業向けベストプラン
OCN光 IPoEサービス
ワイドプラン標準プランからさらに3倍の帯域設計(従来サービスの6倍)。
ワイドプランならではの特長として、Windows Updateによる通信をそのほかの業務用の通信から分離。安定した通信が可能。 -
オンライン会議に最適
OCN光 IPoEサービス
ワイドプラン オプションサービス
アプリコントロールAワイドプランに加え、映像によるリモート会議・商談の通信を別経路に分離。
ストレスフリーなコミュニケーション環境を実現します。 -
OCN光 IPoEサービス
標準プラン従来サービスから2倍の収容設計!
動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離。
快適なインターネット接続環境を実現。 -
OCN光 IPoEサービス
vUTMセットIPoEインターネット接続とクラウド化されたUTM機器をセットで提供。運用保守をNTT Comが行うため、つねに最新のセキュリティ対策を実現します。クラウド利用時のセキュリティ対策にも最適です。
-
OCN光 IPoEサービス
VPNセット高品質なOCN IPoEインターネット接続と拠点間VPN機能、専用レンタルルーターをセットで提供。
IPsecによる暗号化技術により、インターネットVPNによる高品質な拠点間通信を実現します。