ランサムウェアの被害はおわっていない!一般の生活にも実際の被害を出し始めたワケ
感染するとデータを暗号化してシステムを使用不可にしてしまうランサムウェアの被害が止まらない。
旧来の個人情報を不正に入手するためのマルウェアと異なるのは、ランサムウェアは、データを復旧するためのキーの代わりに身代金を要求するというビジネスモデルであることだ。
世界的も多くの被害がでており、日本国内においても法人サイトを中心に被害が発生していたが、そうはいっても、一般の人にとっては今ひとつ現実味のない話だった。
しかし、ここ最近、一般の人にも実感できる実害が報告される事例が発生してきた。
対企業への攻撃で、一般の人の生活にも直接関わる被害が出てきたからだ。
◎日本でも被害を出しているWannaCry
まだ記憶に新しいのが「WannaCrypt」。
2017年5月12日〜15日にかけて世界中で広まり、日本時間では週末にあたることから、週明け月曜となる15日に注意喚起のアナウンスが各所から出ていた。
この段階では、日立製作所、JR東日本、東京急行電鉄などが被害を受けた。
日立が自社サイトに掲示しているリリースによると、
・5月12日深夜、社内システムの一部に異常を発見
・5月13日未明、直後から対策チームを立ち上げ、状況の把握を始める
・5月15日以降、「メールの送受信ができない」など社内システムに不具合が発生していることを発表
・5月17日時点でメールシステムの不具合の復旧がおおむね完了(週内の全面復旧を見込む)
という流れだ。
トレンドマイクロの発表によると、
イギリスやスペイン、ロシア、ドイツなど各国での被害が明らかになり始めた後から急速に拡大し、5月12日21時42分から5月15日9時00分までの間に確認、ブロックした攻撃は全世界で 92,141件にも上るとされている。日本でも、同期間内に13,645件の攻撃が確認されたという。
◎WannaCryの感染経路
これまでのランサムウェアの拡散経路と大きく異なっていたのが、
・メールを感染源としない
・ユーザーのアクションを必要としない
の2点だ。
WannaCryは、Windowsのファイル共有プロトコル「Server Message Block(SMB)」の脆弱性を突いて侵入すると、あるURLにリモートで接続し不正なコードを実行する。暗号化されるファイルの対象は、システム内のほぼあらゆる種類に及ぶ。
また、同じLAN上にあるほかのマシンのポート(SMBプロトコルが通信するポート)をスキャンし、侵入可能な脆弱性があれば侵入するという仕組みで感染を広げていくため、一度ネットワークに入り込むと企業のネットワーク全体に一気に拡大することになる。
対応策として、
・マイクロソフトが脆弱性を修正したSMBサーバー用のセキュリティ更新プログラム
・緊急度が高いことから、Windows XP向けにセキュリティ更新プログラム
が公開された。
さらに、ハッカーおよびセキュリティベンダーらが
・侵入後アクセスに行くURLのドメイン(これを「キルスイッチドメイン」と呼ぶ)を有効化
した。
こうしたことから、わずか1週間程度で収束した。
この「キルスイッチ」とは何かというと、
WannaCryは侵入するとあるURLにアクセスしにいく。
このとき
「アクセスできなければ活動を開始」
「アクセスできる場合に活動を停止」
するという動作を行う。
当初、このURLはドメイン登録されておらず、IPアドレスを割り当てられていなかったため、アクセスしようとしてもエラーが返されてウイルスの活動が始まっていた。そこで、そのドメインを突き止め登録(IPアドレスを割り当て)することで有効化し、ウイルスの活動を停止させたというわけだ。
◎WannaCryの亜種が発生し、被害が再燃
前述のように、わずか1週間程度で収束したとはいえ、新たなキルスイッチドメインが発見、登録(無効化)されるなど、WannaCryの亜種の活動は続いている。
さらには、感染後の動作を微調整した(キルスイッチへの接続の成功如何に関わらず活動を開始する)亜種も発見されている。
状況として攻撃と対策は、イタチごっこ的なことになっているようだ。
それを証明するかのように、実際6月になってから、ホンダの複数拠点がWannaCryに感染した。この影響で、狭山工場の操業停止する(6月18日夕に感染・生産システムが停止、20日に復旧)などの被害が出ている。
そして、具体的なウイルスの名前はまだ明らかにされていないが、
マクドナルド店舗のネットワークシステムの一部不具合(16日未明に発生、21日に復旧)が発生した。
これもランサムウェアによるものとされている。
また、韓国ではランサムウェア攻撃を受けたウェブホスティング企業「NAYANA」が身代金を支払うことに合意したと明らかにしている。
このように、現在でもランサムウェアの被害は、
・システムの停止による損失
・身代金という形での損失
という実世界で大きな被害を生み出したのだ。
実際、感染しデータが暗号化され、システムが止まると、企業の現場やサービス業の日常業務が止まる。
つまり、多くの一般の人の生活に直接影響が出ることになる。
個人の環境であれば、暗号化されて使えなくなるデータといってもたかがしれているし、昨今ではクラウドサービスにデータを置いている人も多い。
そのため、PCを初期化するなどの荒技的な対処も可能だ。
しかし。企業の現場やサービス業の業務のシステムとなると、そうはいかない。
業務が完全に停止するシステム総入れかえなどは、簡単にはできないからだ。
このため、原因を究明し、対策を実行して、システムを復旧しなければならない。
それには、ある程度の時間がかかるため、今回のマクドナルドの事例のように、一般の私たちも被害を実感することになったわけだ。
今後、ランサムウェアの攻撃は企業を狙った流れになるのだろうか。
ランサムウェアの企業への攻撃は、私たち個人には関係のないように思われがちだ。
だが、私たちはその企業から、日々、さまざまなサービスを受けている。
今回のマクドナルドやホンダの事例から、私たちも「被害を受ける」ということを忘れてはならない。
大内孝子
旧来の個人情報を不正に入手するためのマルウェアと異なるのは、ランサムウェアは、データを復旧するためのキーの代わりに身代金を要求するというビジネスモデルであることだ。
世界的も多くの被害がでており、日本国内においても法人サイトを中心に被害が発生していたが、そうはいっても、一般の人にとっては今ひとつ現実味のない話だった。
しかし、ここ最近、一般の人にも実感できる実害が報告される事例が発生してきた。
対企業への攻撃で、一般の人の生活にも直接関わる被害が出てきたからだ。
◎日本でも被害を出しているWannaCry
まだ記憶に新しいのが「WannaCrypt」。
2017年5月12日〜15日にかけて世界中で広まり、日本時間では週末にあたることから、週明け月曜となる15日に注意喚起のアナウンスが各所から出ていた。
この段階では、日立製作所、JR東日本、東京急行電鉄などが被害を受けた。
日立が自社サイトに掲示しているリリースによると、
・5月12日深夜、社内システムの一部に異常を発見
・5月13日未明、直後から対策チームを立ち上げ、状況の把握を始める
・5月15日以降、「メールの送受信ができない」など社内システムに不具合が発生していることを発表
・5月17日時点でメールシステムの不具合の復旧がおおむね完了(週内の全面復旧を見込む)
という流れだ。
トレンドマイクロの発表によると、
イギリスやスペイン、ロシア、ドイツなど各国での被害が明らかになり始めた後から急速に拡大し、5月12日21時42分から5月15日9時00分までの間に確認、ブロックした攻撃は全世界で 92,141件にも上るとされている。日本でも、同期間内に13,645件の攻撃が確認されたという。
◎WannaCryの感染経路
これまでのランサムウェアの拡散経路と大きく異なっていたのが、
・メールを感染源としない
・ユーザーのアクションを必要としない
の2点だ。
WannaCryは、Windowsのファイル共有プロトコル「Server Message Block(SMB)」の脆弱性を突いて侵入すると、あるURLにリモートで接続し不正なコードを実行する。暗号化されるファイルの対象は、システム内のほぼあらゆる種類に及ぶ。
また、同じLAN上にあるほかのマシンのポート(SMBプロトコルが通信するポート)をスキャンし、侵入可能な脆弱性があれば侵入するという仕組みで感染を広げていくため、一度ネットワークに入り込むと企業のネットワーク全体に一気に拡大することになる。
対応策として、
・マイクロソフトが脆弱性を修正したSMBサーバー用のセキュリティ更新プログラム
・緊急度が高いことから、Windows XP向けにセキュリティ更新プログラム
が公開された。
さらに、ハッカーおよびセキュリティベンダーらが
・侵入後アクセスに行くURLのドメイン(これを「キルスイッチドメイン」と呼ぶ)を有効化
した。
こうしたことから、わずか1週間程度で収束した。
この「キルスイッチ」とは何かというと、
WannaCryは侵入するとあるURLにアクセスしにいく。
このとき
「アクセスできなければ活動を開始」
「アクセスできる場合に活動を停止」
するという動作を行う。
当初、このURLはドメイン登録されておらず、IPアドレスを割り当てられていなかったため、アクセスしようとしてもエラーが返されてウイルスの活動が始まっていた。そこで、そのドメインを突き止め登録(IPアドレスを割り当て)することで有効化し、ウイルスの活動を停止させたというわけだ。
◎WannaCryの亜種が発生し、被害が再燃
前述のように、わずか1週間程度で収束したとはいえ、新たなキルスイッチドメインが発見、登録(無効化)されるなど、WannaCryの亜種の活動は続いている。
さらには、感染後の動作を微調整した(キルスイッチへの接続の成功如何に関わらず活動を開始する)亜種も発見されている。
状況として攻撃と対策は、イタチごっこ的なことになっているようだ。
それを証明するかのように、実際6月になってから、ホンダの複数拠点がWannaCryに感染した。この影響で、狭山工場の操業停止する(6月18日夕に感染・生産システムが停止、20日に復旧)などの被害が出ている。
そして、具体的なウイルスの名前はまだ明らかにされていないが、
マクドナルド店舗のネットワークシステムの一部不具合(16日未明に発生、21日に復旧)が発生した。
これもランサムウェアによるものとされている。
また、韓国ではランサムウェア攻撃を受けたウェブホスティング企業「NAYANA」が身代金を支払うことに合意したと明らかにしている。
このように、現在でもランサムウェアの被害は、
・システムの停止による損失
・身代金という形での損失
という実世界で大きな被害を生み出したのだ。
実際、感染しデータが暗号化され、システムが止まると、企業の現場やサービス業の日常業務が止まる。
つまり、多くの一般の人の生活に直接影響が出ることになる。
個人の環境であれば、暗号化されて使えなくなるデータといってもたかがしれているし、昨今ではクラウドサービスにデータを置いている人も多い。
そのため、PCを初期化するなどの荒技的な対処も可能だ。
しかし。企業の現場やサービス業の業務のシステムとなると、そうはいかない。
業務が完全に停止するシステム総入れかえなどは、簡単にはできないからだ。
このため、原因を究明し、対策を実行して、システムを復旧しなければならない。
それには、ある程度の時間がかかるため、今回のマクドナルドの事例のように、一般の私たちも被害を実感することになったわけだ。
今後、ランサムウェアの攻撃は企業を狙った流れになるのだろうか。
ランサムウェアの企業への攻撃は、私たち個人には関係のないように思われがちだ。
だが、私たちはその企業から、日々、さまざまなサービスを受けている。
今回のマクドナルドやホンダの事例から、私たちも「被害を受ける」ということを忘れてはならない。
大内孝子