ユーザーのファイルを勝手に暗号化して身代金を要求するランサムウエア「WannaCry」の被害が世界中に広がっている。WannaCryの被害が急拡大した理由は二つある。「サポート切れしたWindows XP」と「米国家安全保障局(NSA)」だ。

 WannaCryはWindowsのファイル共有機能「SMBv1」に存在する脆弱性を悪用して自らを増殖させていくランサムウエアである。WannaCryが悪用した脆弱性(MS17-010)は、ファイル共有機能が有効になっているWindows ServerやWindowsパソコンにネットワーク経由でアクセスして、Windowsのシステム権限で任意のプログラムを実行できてしまうというものだった。

 WannaCryはまずフィッシングメールなどによってユーザーのWindowsパソコンを乗っ取ると、そのパソコンを足がかりに社内ネットワーク上にあるWindows Serverベースのファイルサーバーや、ファイル共有機能を有効にしているWindowsパソコンの脆弱性を攻撃した。そうすることでWannaCryに感染するサーバーやパソコンを増やして、暗号化するファイルの数を増やしていった。WannaCryに感染したサーバーやパソコンでは、ビットコインによる身代金の支払いをしなければファイルを回復できないという画面が表示される。

 実はこうした仕組みそのものは、従来のランサムウエアとあまり変わらない。WannaCryの被害が急拡大したのは、WannaCryが狙ったWindowsの脆弱性「MS17-010」を対象としたセキュリティ修正プログラムの公開が2017年3月と比較的最近だったことに加えて、「Windows XP」や「Windows 8」、「Windows Server 2003」「Windows 2000 Server」といったサポートが終了したOSにはセキュリティパッチが提供されていなかったことがある。

 英紙「テレグラフ」によれば、大量の業務用パソコンがWannaCryに感染した英国の国民保健サービス(NHS)では、業務用パソコンの90%でWindows XPが利用されていたという()。米MicrosoftはWannaCryの大規模感染が報じられた5月12日(米国時間)にWindows XPやWindows 8、Windows Server 2003向けにMS17-010のセキュリティ修正プログラムを公開しているが(「Windows 8.1」は元々サポート期間内である)、脆弱性のあるサーバーやパソコンが多かったことがWannaCryの感染を広げたといえる。

図●英NHSがWebサイトに掲出した被害状況
図●英NHSがWebサイトに掲出した被害状況
出典:英NHS
[画像のクリックで拡大表示]