今回のウィルスの感染手法や感染する原因などをまとめてみました。
スポンサーリンク

 現在、世界中でランサムウェアと呼ばれるウィルスの感染が拡大中です。カメラを趣味にしている人の多くには、PCで画像を加工、現像している人も多いと思いますので、断片的に伝えらている情報を集約して、このウィルスに関する情報をまとめてみたいと思います。

■ランサムウェアとは何か?

 ランサムウェアとは、コンピュータに保存されているファイルを人質に身代金を要求するタイプのコンピュータウィルスです。どのように人質にするかというと、コンピュータのファイルを暗号化してファイルとして上書き保存してしまいます。こうするとファイルの中身が暗号化されるので実行できませんし、画像の場合には閲覧は不可能です。
 ですが、ファイルは暗号化されているだけですので復号することができ、元に戻すことも可能となっています。このため犯人にお金を支払うと元々のファイルの中身が戻ってくるという仕組みです。
 このようにランサムウェアとは、コンピュータのファイルを人質に身代金を要求するタイプのウィルスの一つで、今回、爆発的に感染が広がっているウィルスはWanna Cryptorというウィルスの亜種と呼ばれています。
 今回は人質を取る手法のため、企業や病院などが大規模に狙われていることが特徴とされています。

■感染してしまったら?

 感染した場合、お金を支払ってもファイルが戻ってくる保障はありません。またウィルスそのものはコンピュータの中に残ったままになっていますし、どのファイルに感染しているかわかりませんので、ファイルが帰ってきたとしても新しいコンピュータにコピーすることはできません。従って、結局はコンピュータを完全に初期化し、OSの再インストールから始めなければならず、身代金を支払うことはしてはいけないと言われています。
 感染してしまった場合、他のバックアップメディアにバックアップしてある場合は、そのファイルを使用するしかなくなるため、普段からファイルのバックアップをしておくことが重要です。また、そのバックアップもHDDなど書き換え可能な媒体に保存している場合、コンピュータに接続した瞬間に感染してしまう可能性がありますので、可能ならば光学ドライブなど書き換え不可能な媒体に保存しておくのがいいとされているようです。

■どうやって感染するの?

 今回の感染方法は2種類です。
 一つ目は一般的にソーシャルエンジニアリングと呼ばれる手法で、主に知り合いや顧客などに成りすましてウィルスを添付したメールを送信したり、ネットから信頼されたサイトと思わせ特定の実行ファイルをダウンロードさせ、そしてそれを実行させる手法により、まずは一次感染します。
 二つ目はWindowsの脆弱性を利用して他のPCへの感染を試みます。まずメールに添付された実行ファイルを実行することで、そのPCへの感染やリモート操作が可能になります。次に、同じネットワークに接続されているWindowsマシンを探し出し、その脆弱性を利用して同じネットワーク上のPCに感染します。今回利用された脆弱性はファイル共有やプリンタ共有などに利用されるSMBというプロトコルを実行するサーバについての脆弱性です。このSMBサーバはファイル共有やプリンタ共有を行うのに必要なプログラムで、ほとんどのWindowsで動作しています。従って、このような大規模に感染していると考えられます。
 一般的にはこの二つの組み合わせと考えられていますが、一部の報道ではネットに接続していないPCにも感染したという報道があるため、ひょっとしたらUSBメモリの自動実行機能を利用した感染経路も考えられます。

■防止方法は?
 
 感染方法からわかるように、まずは不審なメールの実行ファイルや添付ファイルを開かないのはもちろん、メールそのものも開く前に削除するのことが重要です。
 二つ目の感染方法のSMBサーバの脆弱性は、実は今年の3月にマイクロソフトが脆弱性修正プログラムを提供しているため、この修正プログラムが適用されていれば、感染することはないと言われています。従って、マイクロソフトが提供する脆弱性の修正プログラムは可能な限り早く適用することが感染防止策となります。
 今回のウィルスに関してはマイクロソフトがアナウンスをしているので修正プログラムを適用するようにしましょう。

■なんでこんなに拡大したの?

 今回の脆弱性はアメリカの諜報機関であるNSAが発見したと言われています。その脆弱性を利用した実験プログラムがなぜかネットにリークされ、その脆弱性が一瞬で世の中に広まりました。そのときにはマイクロソフトの修正プログラムは配布されておらず、その隙間をついて一斉に広まった可能性が指摘されているようです。
 つまり修正プログラムやアンチウィルスソフトの定義が新しくなる前にコンピュータを攻撃する0Day攻撃と呼ばれる手法が利用された可能性があり、その場合には対応のする余地がありません。
 このように対策前に感染させて、攻撃者は十分に広まるまで数ヶ月間ほど待ち、そして今回に一斉に活動させたという可能性が考えられています。
 従って、最も最初の感染の原因となる怪しいメールは開かないということが最も重要となります。

■どのようなコンピュータに注意したほうがいいの?

 今回はWindowsの脆弱性を利用して爆発的に感染するウィルスです。従って、二次的な感染手法であるネットワークによる感染を防ぐためにWindowsの修正プログラムが適用されていないコンピュータに注意する必要があります。
 例えば、最近ではPOSなどでも独自OSではなくWindowsを利用しているものがあります。またスーパーや駅などで動作しているお勧め商品をお知らせするような表示装置、病院の待ち時間やサービスエリアで渋滞場所を表示している装置などにも基本ソフトとしてWindowsが利用されている例があります。
 こういうPCの場合、ほとんど自動更新任せになっており実際には更新が失敗している可能性もあります。
 またアップデートをしているPCでも、何かしらのプログラムに影響があるかもしれないため、不具合がないことを確かめてからでなければ修正プログラムを適用できない場合もあります。そのように適用が遅れがちのPCにも注意したほうがいいですね。

■まとめ

 まずは最初に入り口である添付ファイルに気をつける、変なサイトからダウンロードしない、アンチウィルスソフトには未知のウィルスでも検知してくれる機能(ヒューリスティック法)やコンピュータ上で怪しい動きをするソフトがあることを検知してくれる機能(ビヘイビア法)のあるものを利用するなどして対処するようにしましょう。
 今回のサイバー攻撃に関するマイクロソフトのガイダンスは本記事下部の記事元リンクからどうぞ。

(記事元)https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/