暗号化は外部サーバで WantToCryが示した“EDR検知回避型”ランサムの次段階:SMBを悪用する新戦略
SMB通信しか使わない侵入手法でファイルを暗号化する新型ランサムウェア「WantToCry」が確認された。EDRを擦り抜けるその手口は、従来の「検知前提」の対策を揺さぶり始めている。公開SMBを抱える企業は、既に標的リスト入りしているかもしれない。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Sophosは2026年5月19日(英国時間、以下同)、SMB(Server Message Block)を悪用し、被害端末から外部送信したファイルを遠隔で暗号化する「WantToCry」ランサムウェア攻撃を分析した結果を公表した。
WantToCry攻撃ではローカル端末でマルウェアを実行せず、SMB経由でファイルを送受信する手法が使われており、EDR(Endpoint Detection and Response)やアンチウイルス製品による検知が困難な点が特徴だ。
WantToCry、SMB通信のみで被害拡大
WantToCryという名称は、2017年にSMB脆弱(ぜいじゃく)性を悪用して世界規模で感染を広げた「WannaCry」を連想させる。ただし、SophosによればWantToCryは自己増殖機能を備えておらず、両者の関連性を示す証拠も確認されていない。ただインターネットに公開されたSMBサービスが危険にさらされる点は共通している。
攻撃者はまず、「Shodan」や「Censys」などのインターネット調査サービスを使い、TCP 139番および445番ポートを公開するSMB機器を探索する。Sophosによれば、2026年1月7日時点でShodanにはSMB関連ポートを公開した機器が150万台超存在していた。攻撃者はこうした公開情報をベースに標的候補を選定しているとみられる。
標的特定後、攻撃者はSMB認証に総当たり攻撃を自動化し、脆弱な認証情報や漏えい済みの資格情報を使って侵入を試みる。認証に成功すると、SMBセッション経由で被害端末内のファイルを攻撃者側インフラに送信し、外部環境で暗号化を実行する。その後、暗号化済みファイルを再びSMB経由で元の場所に書き戻す流れとなる。被害ファイルには「.want_to_cry」拡張子が付与され、端末内には「!Want_To_Cry.txt」というランサムノートが生成される。
ランサムノートには2種類が確認されている。一つは暗号化解除交渉にチャット/通話アプリ「qTox」を使用し、もう一つは「Telegram」アカウント「want_to_cry_team」を連絡先として記載していた。被害者には最大3件のテストファイル復号が提示され、復号鍵購入用のビットコインウォレット情報が通知される仕組みとなっている。要求額は1件当たり600ドルだったが、外部で確認された事例では400〜1800ドルの範囲も確認された。Sophosは、要求額が比較的低額である背景として、攻撃範囲が限定的である可能性を挙げている。
WantToCryでは、一般的なランサムウェア攻撃で見られる横展開や環境全体への感染拡大が確認されていない。SMBを公開していたホストのファイル暗号化にとどまるケースが多いとみられる。データ送信は暗号化工程の一部ではあるが、窃取データを公開すると脅迫する「二重脅迫型」攻撃に利用された形跡も確認されていない。
Sophosは、攻撃インフラについても分析した。SMB探索と認証試行にはロシア系ホスティング事業者に関連するIPアドレスが使われていた。暗号化処理には別のサーバ群が利用され、ドイツやロシア、米国、シンガポールに所在するIPアドレスが確認された。
攻撃では「WIN-J9D866ESIJ2」と「WIN-LIVFRVQFMKO」という2種類のコンピュータ名も確認されている。これらは過去に「LockBit」「Qilin」「BlackCat」(別名:ALPHV)といったランサムウェアグループ関連の攻撃でも観測されていたが、同一端末や同一攻撃者を示すものではないという。両名称はISPsystem製仮想マシンに由来し、正規インフラで生成された仮想環境が不正用途に転用された可能性がある。
Sophosは「WantToCryがローカルで悪意あるコードを実行しないため、従来型セキュリティ製品による検知が困難だ」と指摘する。EDRやアンチウイルスは通常、不審プロセスや既知マルウェアのシグネチャを検出対象とする。しかしWantToCryにおいて、SMB経由のファイル操作が通常通信として扱われやすく、不審挙動として識別しにくい。ファイル内容の変化そのものを監視する製品であれば、暗号化行為を検知可能と説明している。
その上でSophosは、防御策としてSMBv1の無効化、匿名アクセスやゲストアクセスの排除、TCP 139番および445番ポートへの外部接続遮断を推奨した。加えて、バックアップ領域をSMB経由で到達できない構成にする必要があるとした。XDR製品によってSMBに探索行為や総当たり攻撃を監視すれば、WantToCry攻撃の前兆を早期把握できる可能性があるとしている。
関連記事
macOSのキッティングは“なめるなキケン” 情シスが知るべきPC管理の本質
キッティングは今なお「単純作業」と誤解されがちですが、実際には“届いた瞬間から安全に使えるPC”を実現する裏側で、情シスはIT統制やセキュリティ、業務継続を支える高度な設計と運用を担っています。なぜその価値は見えず、評価されないのか。キッティングの本質を掘り下げます。
Claude Mythosのヤバすぎる実力を検証 脆弱性を連結して攻撃経路を生成
Cloudflareは、Anthropicの新型LLM「Claude Mythos Preview」を自社インフラで動かして検証した。同社が「単純な性能向上ではなく、脆弱性探索ツールとして別種の能力を備えた」と評価するこのAIモデルの実力を細かくみていこう。
Linuxカーネルに深刻な脆弱性 PoCでは100回から2000回の試行で悪用成功
Linuxカーネルの深部で見つかった欠陥が、想像以上に危険な波紋を広げている。一般ユーザー権限しか持たない攻撃者が、わずかな“終了処理の隙”を突くことでroot専用情報に到達可能だという。PoCも公開済みのため要注意だ。
GitHub侵害で銀行連携停止 マネーフォワード事案が突き付ける開発リスク
マネーフォワードは認証情報漏えいによるGitHubへの不正アクセスを受け、ソースコードや一部個人情報が流出したと公表した。銀行連携機能まで一時停止に追い込まれた今回の事案は、開発現場に潜む見落とされがちなリスクを浮き彫りにしている。
NIST、ついに“脆弱性の全件分析”を断念 CVE爆増でパンク状態、方針転換
NISTは、脆弱性データベース「NVD」の運用を大きく見直す。CVEの急増により従来の“全件分析”が限界に達したためだ。今後は優先度に応じた対応へと転換する。この変更は、脆弱性管理の前提そのものを揺るがす可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。