世界的な規模で感染拡大したランサムウェア「WannaCryptor」について
2017年5月12日に、ロシア、ウクライナ、台湾などでランサムウェア「WannCryptor」の大規模な感染がありました。この発生当日の検出量を国別に見るとロシア中心に猛威を振る状況にあります(以下の表を参照)。しかし、5月13日以降も様々なところで感染被害報告が上がっており、日本でも被害に遭ったケースが出てきています。
世界的な規模で攻撃が発生していることを受け、このランサムウェアに関わる大規模なサイバー攻撃が発生していることを受け、このランサムウェアに関わる大規模なサイバー攻撃については、すでに国内でもIPA(情報処理推進機構)、JPCERT/CCや総務省などから注意喚起が出ております。

※ランサムウェア(Ransomware)とは、身代金を要求するマルウェアで、最近の傾向として感染端末に保存されたデータなどを暗号化し、そのデータを復号するために脅迫文書を示して金銭を要求する特徴を持っています。
5/12のESET製品によるランサムウェア
「Win32/FileCoder.WannaCryptor」国別検出状況の割合
  感染拡大した主な要因
今回のランサムウェアは、ワームとしての機能も持っており、感染活動を大きく拡大させた一つの要因です。また、侵入手法として「EternaBlue」エクスプロイト攻撃を利用しMicrosoftネットワークのファイル共有通信に用いられていたSMBv1の脆弱性を悪用していました。これにより、Microsoftより提供されている修正プログラム「MS17-010」が適用されていないWindowsプラットフォーム環境が軒並み標的となっています。

このランサムウェア「WannaCryptor」については、ESETでは、「Win32/FileCoder.WannaCryptor」もしくは「Win32/Exploit.CVE-2017-0147」として検出対応しておりますが、今後も亜種が発生することに備え、脆弱性対応を優先に速やかな対応が必要です。まずは、このランサムウェアの特徴についてご説明します。
  今回のランサムウェア「WannaCryPtor」の特徴
今回、特に多く確認されたランサムウェアは、「Win32/FileCoder.WannaCryptor.D」と呼ばれる種類のものです。実際に感染してしまうと、ローカルPC内のデータが次々と暗号化されます。暗号化されたすべてのファイルは、ファイル名の拡張子を「.WNCRY」に書き換えられます。暗号化が完了すると、デスクトップ背景画面を書き換え、かつ脅迫文書画面が表示されます(以下の図1と図2を参照)。ここでは、身代金として$300をビットコインで支払うよう要求してきます。

図1:「Win32/fileCoder.WannaCryptor.D」に感染した後の脅迫文書画面

図2:「Win32/FileCoder.WannaCryptor.D」に感染した後のデスクトップ背景画面

その他にも、Q&Aが書かれたテキストファイル(以下の図3を参照)のローカルPC上に生成されます。

図3:「Win32/FileCoder.WannaCryptor.D」に感染した後に生成されるテキストファイルを開いたところ

昨年以降、様々な種類のランサムウェアは発生し続けており、今後も予断を許せない状況が続くものとみています。