5月12日に出現して、世界中を泣かせた「WannaCry(ワナクライ)」。一部では大きな被害をもたらしたものの、1週間後にはほぼ収束した。早期に収束した理由としては、世界中の管理者の尽力や、マイクロソフトによる異例のWindows XP向けセキュリティ更新プログラム(パッチ)の公開などに加えて、WannaCryの「キルスイッチ」が有効にされたことが挙げられる。

WannaCryが表示する身代金要求の画面
WannaCryが表示する身代金要求の画面
(出所:情報処理推進機構)
[画像のクリックで拡大表示]

未登録のドメイン名が鍵

 キルスイッチは、燃料や電気の供給を遮断してエンジンを緊急停止するスイッチ(装置)のこと。オートバイに乗っている方ならよく知っているだろう。WannaCryにおけるキルスイッチとは、WannaCry自身の活動を停止するトリガー(条件)を指す。キルスイッチが有効になると、WannaCryはファイルの暗号化や身代金の要求などの活動を停止する。5月13日、世界中のWannaCryに対してキルスイッチが有効になり、一部の環境を除いて、WannaCryは無効化された。

 WannaCryのキルスイッチは何だったのか。それは、以下のドメインにアクセスできるかどうかだった。このドメインにアクセスしても問題はないが、念のため、ピリオドの前後にはカッコを付けて表記した。

www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

 キルスイッチの条件になるドメインなので、セキュリティベンダーによっては「キルスイッチドメイン」と呼んでいる。後述するように、現在では取得されているドメイン名だが、WannaCryが出回った当初は未登録のドメインで、IPアドレスが割り当てられていなかった。つまり、このドメインにアクセスしようとすると、DNSサーバーからエラーが返り、アクセスできなかった。

 WannaCryは、Windowsパソコンに感染すると前述のドメインにアクセス。アクセスできなければ活動を開始。アクセスできる場合には活動を停止する。