「あんまり騒がないでくださいよ」。あるユーザー企業のセキュリティ専門家と会った時、こう言われた。世界中が泣かされたランサム(身代金)ウエア「WannaCry」の報道によって、社内システムが使えなくなったというのだ。

 何が起こったのかというと、Windowsが初期のころから搭載しているファイル共有やプリンター共有に使う機能「SMB(サーバー・メッセージ・ブロック)」が利用できなくなったというのだ。WannaCryは侵入後にSMBv1に存在した脆弱性を悪用して感染を広げたが、この企業のシステムがWannaCryに感染したわけではない。

WannaCry感染でPCに表示される画面の一例
WannaCry感染でPCに表示される画面の一例
(出所:情報処理推進機構)
[画像のクリックで拡大表示]

 詳しくは語ってもらえなかったが、この企業は外向けのファイアウォールか社内PCでSMBが使うTCPポート445番を遮断したらしい。いずれにしろ、この会社では社内システムにSMBを使っていたため、この措置により一部不具合が出て、しばらく対応に追われた。

 世界でWannaCryの感染が広がったのは5月12日の金曜日から。日本では週明け15日に感染拡大が懸念され、情報処理推進機構(IPA)が14日に緊急記者会見を開いて注意を促した。この会社のシステム部門には週末、社長から「報告が無い」と直接電話がかかってきたという。「報告も何も被害ないし……」とシステム部門は戸惑った。

 WannaCry攻撃の2カ月前に米マイクロソフトはSMBv1のセキュリティ更新プログラム(パッチ)を公開済み。企業がサポート切れのWindowsを使わず、パッチを適切に適用するという、よく言われる「対策の初歩」をしっかり実施していればWannaCry感染の恐れはない。この企業もそうだった。

 この企業のセキュリティ維持管理レベルは高い。もともと経営トップがセキュリティを経営課題の一つに掲げ、セキュリティ関連のインシデント(事故)に対処するCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)も早い時期に発足している。平時も訓練や予防に向けた対策を欠かさず、“名ばかりCSIRT”ではない。

 社長の電話以来、どういう社内のやり取りがあってSMBの一律禁止が発せられたかはヤブの中だ。第2第3のWannaCry攻撃を見越して、完全に感染経路を断つようにしたのかもしれない。