今月12日頃から世界各国でランサムウェアの被害拡大が報じられている。Wanna Cryptor (WannaCrypt, WannaCry, WannaCryptor, Wcryなど)と呼ばれるマルウェアで、感染すると端末のファイルが暗号化され、元に戻すために金銭を払えと要求してくる。
IPA(情報処理推進機構)にも15日以降、ランサムウェアに関する相談が多数寄せられているという。相談の中には、不審なメールの開封や添付ファイルの実行といった、マルウェア感染の原因となる操作を必ずしも行っていないケースや、ブラウザの閲覧すらしていないというケースもあったという。また、暗号化されたファイルの拡張子が「.wncry」だったケースも複数あったといい、これらはWanna Cryptorの感染被害と考えられている。
■Wanna Cryptorとは--脆弱性が残る端末を探し、自己増殖
JPCERT/CC は5月14日現在、国内でのWanna Cryptorによる感染や被害情報を確認している。感染経路の全容は把握していないが、感染の一例として、モバイル接続を利用してインターネットに接続している端末が気づかぬまま感染したケースがあったという。また、感染端末から外部のIPアドレスや、同一ネットワーク内の端末に対し、脆弱性の修正(MS17-010)がなされていない端末を探すスキャン実行も確認された。脆弱性を修正していない端末を見つけると感染拡大を図るもので、不審メールの開封や添付ファイルの実行などしていなくても、ネットワークに接続しているだけで感染してしまう恐れがある。
■感染しないための対策--Windows Updateの実行
IPAは、Windows Updateを行っていないユーザーに対し、まずデータのバックアップをとること、そのうえでWindows Updateを実行するよう呼びかけている。
(1) ネットワーク接続をしていない状態で必要ファイルをバックアップする。
バックアップの方法については、下欄「関連記事」にあげた「安心できるバックアップ対策」等を参照していただきたい。
(2) ネットワークに接続し、Windows Updateを実行する。
(3) 更新プログラムが適用されたことを確認する。
また、ウイルス対策ソフトの定義ファイルを最新版に更新する、メールを開く際には添付ファイルや本文の内容に十分注意することや、OSだけでなくソフトウエアを最新版に更新することも必要だ。
■感染してしまった場合の対処法
IPAは、感染してしまったユーザーからの代表的な質問を2つ紹介している。1つは「パソコンは問題なく操作できるがこのまま使い続けてもよいか」という質問、もう1つは「暗号化されてしまったファイルを元に戻すことはできるか」というものだ。
前者に対しては、「ランサムウェア以外のウイルスに感染している等の可能性も考えられるため、パソコンは初期化をしてから利用を再開する」ことを推奨している。後者については、基本的に暗号化されたファイルの復号はできないが、過去には特定のランサムウェアについて復号ツールが公開された例もあり、今後、復号ツールが提供される可能性もゼロではないので、暗号化されたファイルを保存しておくことも一考であるとしている。
大切なデータを暗号化されて失いたくなかったら「日頃から確実なバックアップを心がける」ことが最大のポイントと言えそうだ。
(2017/05/19 ネットセキュリティニュース)
【関連URL】
・更新:「安心相談窓口だより」IPAに寄せられているランサムウェアの相談について
~Wanna Cryptorの感染防止のために今すぐWindows Updateを~(IPA)
https://www.ipa.go.jp/security/anshin/mgdayori20170515.html
・更新:世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について(IPA)
https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html
・ランサムウエア "WannaCrypt" に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2017/at170020.html
・マイクロソフト セキュリティ情報 MS17-010 - 緊急(マイクロソフト)
https://technet.microsoft.com/library/security/MS17-010
【関連記事:ネットセキュリティニュース】
・猛威ふるうランサムウェア――安心できる「バックアップ」対策(2016/05)
・猛威ふるうランサムウェア――対策としての「バックアップ」(2016/04)