• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

記者の眼

WannaCry、ランサムウエアというよりむしろワームと考えるべきだった (2/3)

勝村 幸博=日経NETWORK 2017/05/19 日経NETWORK

 このような状況なので、5月14日に緊急記者会見を開いた情報処理推進機構(IPA)は、「(明日15日)月曜日の業務開始時、不審なメールを開かないように十分に注意して、トラブルを未然に防いでほしい」と注意を呼びかけた。

 同様の注意は、ほかのセキュリティ組織やセキュリティベンダーも呼びかけていた。だが、ほどなくして「メールによる侵入説」は疑われる。WannaCryを添付したメールや、WannaCryそのものと思われる添付ファイルに関する情報が一切出てこなかったからだ。

 メールによるウイルス(ランサムウエア)攻撃の場合、大規模であればあるほど、すぐに攻撃メールや添付ファイルが特定され、それらの特徴が周知される。そして、「こういった件名のメールや添付ファイルには気を付けて」と注意喚起される。それが、今回は全くない。

 そこで有力になったのが、WannaCryによる“直接攻撃”だ。WannaCryには、同一ネットワークのIPアドレスだけではなく、インターネット上のグローバルIPアドレスにも、Windowsの脆弱性を突くデータを送信する。このため、インターネットに直接つながっているWindowsパソコンは、攻撃を受けてWannaCryに感染する恐れがある。

 この感染経路があることは当初から考えられていたが、あくまでも“感染経路の一つ”として考えられていた。だが実は、この感染経路がほぼすべてのようだ。

 トレンドマイクロは、5月16日に公開した公式ブログにおいて、「現時点ではメールベースでの大規模な攻撃が行われている兆候は確認していない」と指摘。「今回のサイバー攻撃は、インターネット経由でグローバルIPアドレスに対して、脆弱性を狙う攻撃が行われていたとみている」と解説する。

 ただ、国内の企業や組織のほとんどでは、ファイアウオールでSMBを遮断していると考えられる。それにもかかわらず、被害は少なからず確認されている。この点が謎だった。

Blasterを覚えていますか?

 国内のセキュリティ組織であるJPCERTコーディネーションセンター(JPCERT/CC)が5月17日に公開した情報を読んで、この謎が自分なりに氷解した。「インターネットに直接つないでWannaCryに感染したパソコンを、従業員が社内ネットワークにつなぐ」という状況があったと考えられるからだ。

 JPCERT/CCでは、「感染経路の全容を把握していない」としながらも、テザリングなどのモバイル接続でインターネットにつないでWannaCryに感染したケースを確認したとしている。モバイル接続だと、社内ネットワークから接続した場合と異なり、防御が不十分だ。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る