「WannaCry」の次は「SambaCry」？：セキュリティクラスタ まとめのまとめ 2017年5月版（1/3 ページ）

2017年5月のセキュリティクラスタ、ゴールデンウイークはのんびり過ごせたものの、その後が大変。ワームとして動くランサムウェア「WannaCry」の話題で持ち切りとなりました。騒ぎが落ち着いたと思ったら「SambaCry」が話題に。結局5月末まで、Windowsファイル共有サービスがタイムライン（TL）をにぎわしていました。この他、無線LANのタダ乗り無罪判決に対し、総務省が違法だと主張してTL上で意見が飛び交いました。

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

ランサムウェア「WannaCry」で大騒ぎ

　ゴールデンウイークは何事もなくあっという間に過ぎていきましたが、その次の週末から世界中が大騒ぎとなりました。ファイルを勝手に暗号化し、身代金を要求するランサムウェア「WannaCry」が世界中で猛威を振るったのです。5月12日ごろから感染が広がっていき、被害に遭ったPCの画面が続々とツイートに挙がりました。

　週末だというにもかかわらず、内閣サイバーセキュリティセンター（NISC）が注意喚起をツイートしたり、IPAが記者会見を行ったりと、国としても危機感を覚えていることが見て取れました。

　WannaCryランサムウェアが、なぜこれほどまでに騒ぎとなったのかというと、これまでのランサムウェアとは動作が異なっていたからです。うっかり感染したユーザーのPCだけでなく、NSAが使っていたWindowsファイル共有サービス（SBMv1）の脆弱性「EternalBlue（MS17-010）」を突くとともに、「DoublePulsar」というこちらもNSAが使っていたバックドアを利用してワームのように感染を広げるのです。たくさんの組織が被害に遭うと予想されました。

　しかしゼロデイ攻撃ではありませんでした。MS17-010の修正プログラムは既に4月に公開されていました。さらにWannaCryには「キルスイッチ」という機能が組み込まれており、キルスイッチとして設定されたドメインのWebサイトへのアクセスが成功すると、実行を終了するのです。

　直接インターネットに接続しているPCは少なくともルータによって守られるため、2003年の「SQL Slammer」と同様に、それほど被害は出ないのではないかという意見も出ていました。

　とはいえ翌週の月曜日になると、予想にたがわず世界中で多数のPCが感染している報告が挙がってきました。国内でも日立製作所やJR東日本などが被害を発表しました。

　その後、インターネットに直接Windowsファイル共有のサービスを公開していたPCが少なかったからか、思っていたより国内では流行しなかったとの声が。当初はメールからも感染するのではないかと疑われていましたが、メールからの感染はなかったようです。

　話題の割にそれほど金銭的な被害にはつながらなかったようで、2017年初めに流行した「Locky」ランサムウェアの方が、支払い額は大きいことが明らかになります。アップデートしないまま古いOSを使い続けるユーザーは、リテラシーが低すぎてWannaCryが要求するビットコインの買い方や支払い方法が分からなかったのでは、と指摘するツイートもありました。

　WannaCryの被害が拡大する中、Windows XPやWindows Server 2003など既に公式サポートが切れたOSに対しても、例外的に脆弱性修正プログラムが公開。XPなどのパッチが公開されたことを受けて、古いPCのサポートをもっと続けるべきだという報道がありました。それに対しては賛同するツイートとともに、いつまでサポートさせる気なのか、と否定的なツイートも多く見られました。