ランサムウェア「WannaCry」の世界的な感染や、日本国内での感染報告を聞いて、慌ててWindows Updateを実行したユーザーやIT部門の方は多いのではないでしょうか。“セキュリティパッチを当てたからこれで安心”なんて思ってはいけませんよ。
ランサムウェア「WannaCry」(WanaCrypt、Wanna Cryptor、Wcrypt、Wcryなどの別称があります)は、Windowsのほぼ全てのバージョン(最新のWindows 10 Creators Updateを除く)に影響する「MS17-010の脆弱(ぜいじゃく)性」を悪用して感染を広げます(画面1)。
2017年5月12日から大規模な攻撃が開始され、既に世界150カ国で23万台以上のコンピュータが脆弱性を悪用されてWannaCryに感染したとされています。日本でも、日立製作所やJR東日本で感染被害が発生したと報道されました。また、WannaCryに感染したPCのほとんどは現在も正式サポート中のWindows 7で、サポートが終了しているWindows XPの被害はほとんどなかったという報道もありました。なお、Windows 7は2020年1月15日にサポートが終了します。
この脆弱性は2017年3月の更新プログラムで既に修正されていましたが、3月以降の更新プログラムがインストールされていないWindows PCや、更新プログラムが提供されないサポートが終了した古いバージョンのWindows PCの存在が世界的な感染拡大の大きな要因になったようです。
本連載の以下の記事で伝えたように、マイクロソフトは今回、サポートが既に終了しているWindows XP、Windows XP Embedded、Windows Server 2003、Windows Server 2003 R2、Windows 8(Windows 8.1ではない)に対しても、MS17-010のセキュリティ更新プログラム(本来は特別な有料カスタムサポート契約向けのもの)を無料で一般公開するという特例措置を講じました。
なお、MS17-010の脆弱性がセキュリティ更新プログラムによって解消されたとしても、“ランサムウェアに感染しなくなるというわけではない”ということに注意してください。ランサムウェアの本体をユーザーが実行すれば、当然、感染するでしょう(ただし、マルウェア対策ソフトウェアが最新の状態になっていれば、そちらでブロックしてくれるはずです)。
MS17-010の脆弱性の解消は、直接的な感染をブロックするものでははく、感染後にネットワーク内でさらに拡散しようとする際に利用する“手段の1つ”を使えないようにするだけです。WannaCryがどのような感染拡大の手段を実装しているのか筆者は知りませんが、洗練されたマルウェアは感染や感染拡大に複数の方法を使用するようです。
サポート終了後の今もなお、Windows XPを使用し続けているという場合、今回の騒動を受けて、慌ててWindows Updateを実行した人がいたかもしれません。しかし、特別措置で公開されたMS17-010はWindows Updateを通じて配布されていません。「Microsoft Update Catalog」や「Microsoftダウンロードセンター」から更新プログラムを手動でダウンロードして、手動でインストールする必要があります。この点については、上記の記事で説明した通りです。
ところで、Windows XPのスタートメニューの「Windows Update」や「Internet Explorer(IE)」の「ツール」メニューの「Windows Update」をクリックして、「Internet Explorerではこのページは表示できません」と表示されて、さらに慌ててしまった方はいないでしょうか。
これらのショートカットのリンク先の「http://windowsupdate.microsoft.com/」は既に存在しません。IEでURL「http://www.update.microsoft.com/」を直接開く、あるいはコントロールパネルの「自動更新」を使用することで、Windows Updateを利用することはできます。繰り返しますが、自動更新やWindows Updateでは、MS17-010のセキュリティ更新プログラムは検出されません(画面2、画面3)。
サポート期間中のWindowsのバージョンであっても、適切に更新されていない場合は脆弱性が放置されている可能性があります。Windows Updateのトラブルで、更新が失敗し続けているような場合は要注意です。
とはいえ、最新のWindows 10は「累積的な更新プログラム」に含まれる形でセキュリティ更新が行われるため、特定の脆弱性に対策できているかどうかを判断するのが困難かもしれません。Windows 7やWindows 8.1も2016年10月から累積的な更新プログラム(これらのOSでは、「セキュリティマンスリー品質ロールアップ」という名前です)に移行したため、同様に分かりにくくなっています。
個別のセキュリティ更新プログラムの場合は、その更新プログラムがインストール済みであれば、脆弱性は解消されているということになります。
例えば、Windows XPの場合、今回の特別措置の更新プログラムによってMS17-010の脆弱性が解消されているかどうかは、コントロールパネルの「プログラムの追加と削除」でインストールされている更新プログラムのリストに「KB4012598」の更新プログラムが存在するかどうかで確認できます。また、コマンドプロンプトで次のコマンドラインを実行して確認することもできます(画面4)。
WMIC QFE LIST | FIND "KB4012598"
Windowsのバージョンによって、更新プログラムの名前は異なります。Windows 7やWindows 8.1以降の場合、MS17-010の脆弱性の修正は、2017年3月以降の累積的な更新プログラムに含まれています。3月の累積的な更新プログラムをインストールしていなくても、4月または5月の累積的な更新プログラムがインストールされていれば対策済みです。Windows Updateが失敗し続けていないかどうか、3月以降の累積的な更新プログラムがインストールされているかどうかを、いま一度、ご確認ください。
筆者の個人ブログに、MS17-010に対応した更新が適用済みであるかどうかを判定するこのバッチファイルを掲載しました。動作を保証することはできませんが、たくさんのPCを確認する作業の効率化の参考にしてください。
なお、2017年6月14日には、Windows 7やWindows 8.1以降向けに新しい累積的な更新プログラムが提供される予定ですので、6月14日を過ぎると正しい結果を報告しなくなる可能性があります。例えば、3〜5月の累積的な更新プログラムが未インストールで、6月の累積的な更新プログラムがインストールされている場合は誤った結果を報告します。
Copyright © ITmedia, Inc. All Rights Reserved.