2017年5月12日以降、世界中で大規模な感染被害をもたらしたといわれるランサムウエア「WannaCry」。当初の報道では「不審なメールを開かないで」といった注意喚起などが出ましたが、実際のところは違ったようです。また感染経路だけでなく、感染の仕組みについても情報が断片的に公開されていたので、全体像が見えていない人は多いのではないでしょうか。今回はこの攻撃を調査しました。

多言語対応に“進化”

 まず、WannaCryの概要について説明します。あまり知られていませんが、今回騒ぎになったのはWannaCryの亜種です。オリジナルは2017年初頭に確認されています。オリジナルは、感染時に表示する文章は英語のみで、ネットワーク経由で感染する機能はなく、大きな脅威ではありませんでした。

 5月に出現した亜種は、ネットワーク機能を持っていたために、大規模な感染被害につながりました。また27の言語に対応し、感染した環境に合った言語の文章を表示するようになりました(図1)。

図1●日本語の文章を表示するランサムウエア「WannaCry」
図1●日本語の文章を表示するランサムウエア「WannaCry」
2017年5月12日以降、世界中で大規模な感染被害をもたらした。感染すると特定のファイルを暗号化し、複数の言語で文章を表示する。2017年初頭に出現したオリジナルのWannaCryは、英語にしか対応していなかった。言語は感染した環境に合わせて選択され、右上のプルダウンからも変更可能。支払い方法に指定された仮想通貨Bitcoin(ビットコイン)の購入方法も説明している。
[画像のクリックで拡大表示]

SMBのポートを突いてくる

 次に、WannaCry感染の仕組みを見ていきます。仕組みがわかれば、感染経路も明らかになります。

 WannaCryの感染は、ネットワーク経由でパソコンにアクセスするところから始まります。アクセスするのは、TCP 445番ポートです(図2)。TCP 445番は、SMBというプロトコルでファイル共有するときに使います。

図2●WannaCry感染の仕組みと、感染する/しないがわかるフローチャート
図2●WannaCry感染の仕組みと、感染する/しないがわかるフローチャート
大規模な感染被害を引き起こしたWannaCryだが、限られた条件下でのみ感染した。
[画像のクリックで拡大表示]

 攻撃は、TCP 445番へのアクセスをブロックしていれば受けずに済みました。国内の企業や組織のネットワークでは、ファイアウオールでTCP 445番をブロックしていることが多いので被害は小さかったと思います。ただし、拠点同士をファイアウオールを経由せずにVPNで接続している企業・組織のネットワークでは、拠点間で感染が拡大する恐れがありました。

 一方、モバイル環境などで直接インターネットにつないでいる場合は、感染の危険性が高かったでしょう。その場合でも、パーソナルファイアウオールなどでTCP 445番をブロックしていればパソコンへの感染を防げました。

▼TCP
Transmission Control Protocolの略。
▼SMB
Server Message Blockの略。
▼VPN
Virtual Private Networkの略。
▼拠点間で感染が拡大する
感染端末が、海外拠点など管理が行き届かない拠点でネットワークにつながると、感染が広がりやすい。