2017年5月12日以降、世界中で大規模な感染被害をもたらしたといわれるランサムウエア「WannaCry」。当初の報道では「不審なメールを開かないで」といった注意喚起などが出ましたが、実際のところは違ったようです。また感染経路だけでなく、感染の仕組みについても情報が断片的に公開されていたので、全体像が見えていない人は多いのではないでしょうか。今回はこの攻撃を調査しました。
多言語対応に“進化”
まず、WannaCryの概要について説明します。あまり知られていませんが、今回騒ぎになったのはWannaCryの亜種です。オリジナルは2017年初頭に確認されています。オリジナルは、感染時に表示する文章は英語のみで、ネットワーク経由で感染する機能はなく、大きな脅威ではありませんでした。
5月に出現した亜種は、ネットワーク機能を持っていたために、大規模な感染被害につながりました。また27の言語に対応し、感染した環境に合った言語の文章を表示するようになりました(図1)。
SMBのポートを突いてくる
次に、WannaCry感染の仕組みを見ていきます。仕組みがわかれば、感染経路も明らかになります。
WannaCryの感染は、ネットワーク経由でパソコンにアクセスするところから始まります。アクセスするのは、TCP▼ 445番ポートです(図2)。TCP 445番は、SMB▼というプロトコルでファイル共有するときに使います。
攻撃は、TCP 445番へのアクセスをブロックしていれば受けずに済みました。国内の企業や組織のネットワークでは、ファイアウオールでTCP 445番をブロックしていることが多いので被害は小さかったと思います。ただし、拠点同士をファイアウオールを経由せずにVPN▼で接続している企業・組織のネットワークでは、拠点間で感染が拡大する▼恐れがありました。
一方、モバイル環境などで直接インターネットにつないでいる場合は、感染の危険性が高かったでしょう。その場合でも、パーソナルファイアウオールなどでTCP 445番をブロックしていればパソコンへの感染を防げました。
Transmission Control Protocolの略。
Server Message Blockの略。
Virtual Private Networkの略。
感染端末が、海外拠点など管理が行き届かない拠点でネットワークにつながると、感染が広がりやすい。