大規模なサイバー攻撃が世界中のコンピュータを襲っています。WanaCryptor、WannacryまたはWcryとして知られている非常に悪性の自己複製ランサムウェアは、先月、***局（NSA）によって野に放たれたハッカーグループから部分的に盗まれたものです。"Shadow Brokers"（シャドウ・ブローカーズ）。

アンチウイルスソフトウェア開発会社Avastによると、このランサムウェアは少なくとも10万台のコンピュータに感染したと考えられています。この大規模な攻撃は、主にロシア、ウクライナ、台湾を標的としていましたが、その他少なくとも99カ国の主要機関に波及しました。このウイルスは、300ドル（本稿執筆時点では約0.17ビットコイン）を要求することに加え、多言語による身代金要求の手法が特徴的で、マルウェアは20以上の言語をサポートしています。

続行は何ですか？

WanaCryptorは、ほとんど前例のない大規模な被害をもたらしています。ランサムウェアは、銀行、病院、通信、電力施設などのミッションクリティカルなインフラに影響を及ぼしています。

英国だけでも、少なくとも40のNHS（National Health Service）トラストが緊急事態を宣言し、重要な手術を強制的にキャンセルし、患者の安全と安心を損ない、ほぼ確実に死に至っているのです。

WanaCryptorは2017年2月に初めて登場しました。ランサムウェアの初期バージョンでは、影響を受けるファイルの拡張子を「.WNCRY」に変更し、各ファイルに "WANACRY!"という文字列を付けていました。

WanaCryptor 2.0は、米国の○○局（NSA）と密接な関係にあるハッキング集団Equation Group（内部の「汚い」ハッキング部隊と噂されている）に関連した脆弱性を悪用して、コンピュータからコンピュータへ急速に拡散しています。尊敬するセキュリティ研究者Kafeineは、ETERNALBLUEまたはMS17-010と呼ばれる脆弱性が、アップデート版に現れる可能性が高いことを確認しています。

マルチユース

WanaCryptor 2.0は、SMB（Server Message Block、Windowsネットワークファイル共有プロトコル）の脆弱性を利用し、ランサムウェアが脆弱なマシンから次のマシンへ拡散することを可能にする自己複製ペイロードを組み合わせたランサムウェアの流行である。このランサムウェアワームは、通常のランサムウェアの配信方法である感染したメール、リンク、その他のアクションを遮断します。

Malwarebytesの研究者であるAdam Kujawa氏は、Ars Technicaの取材に対し、「最初の感染経路は、我々がまだ見つけようとしているものだ」と述べています。この攻撃が標的型であることを考えると、ネットワークの防御の脆弱性を利用したものか、あるいは精巧なスピアフィッシング攻撃である可能性があります。いずれにせよ、エターナルブルーの脆弱性を利用して、パッチの当たっていない他のシステムに感染させるために、感染したネットワークを通じて広がっている。"

WanaCryptorは、同じくNSAからリークされた脆弱性であるDOUBLEPULSARを悪用しています。これは、リモートで悪意のあるコードを注入し、実行するために使用されるバックドアです。この感染では、以前にバックドアに感染したホストをスキャンして見つけ、既存の機能を利用して暗号化プログラムをインストールします。ホストシステム上に既存のDOUBLEPULSARバックドアが存在しない場合、マルウェアはETERNALBLUE SMB脆弱性に戻ります。

主なセキュリティアップデート

米国○○局からのハッキングツールの大量流出が世界的な話題に米国の○○局は、未発表のゼロデイ脆弱性を収集し、自社で使用するために保管していたという直接的かつ比類のない証拠が存在します。現在、私たちが見ているように、これはセキュリティ上の大きなリスクとなる。

偶然にも、マイクロソフトは3月にEternal Blueの脆弱性にパッチを当て、その後、Shadow Brokersの兵器級の巨大な脆弱性が話題になった。攻撃の性質、この特定の脆弱性が存在することが分かっていること、そして感染の速さを考えると、重要な更新プログラムがリリースされてから2ヶ月以上経過しても、多くの組織がインストールを怠っているように思われます。

結局、影響を受けた組織は責任のなすりあいをしたがるものです。しかし、どこに矛先を向けるべきなのだろうか。この場合、危険なゼロデイ脆弱性をため込んでいる○○局、流出したエクスプロイトで WanaCryptor を更新した犯罪者、重要なセキュリティ更新を無視した多くの組織、そしてまだ windowsxp を使用している多くの人など、責任を共有するには十分すぎるほどである。

主要なオペレーティングシステムのアップグレードの負担が大きくなり、人が死んだかもしれないのです。

マイクロソフトは、Windows Server 2003、Windows 8、Windows XPの重要なセキュリティ更新プログラムを直ちにリリースしました。

私は危険な目に遭っているのでしょうか？

WanaCryptor 2.0は、野火のように広がっています。ある意味、セキュリティ業界以外の人たちは、ワームの拡散の速さやパニックを起こすことを忘れてしまっている。この高度に相互接続された時代には、暗号化されたランサムウェアと相まって、マルウェアベンダーはとんでもない勝ち組になっています。

危険はないのか？幸いなことに、米国が目を覚まし、清算の日を迎える前に、MalwareTechBlogが悪質なコードに隠されたキルスイッチを発見し、感染の拡大を抑制することができたのです。

このキルスイッチには、iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.comという意味不明な長いドメイン名が含まれており、マルウェアがリクエストを送信する先となるのです。

リアルタイムにリクエストが返された場合（つまりリクエストが受理された場合）、マルウェアはマシンに感染しない。残念ながら、これはすでに感染している人の助けにはなりません。MalwareTechBlogの背後にいるセキュリティ研究者は、これが緊急キルスイッチであることを認識せずに、彼らの要求を通じて新しい感染を追跡するためにこのアドレスを登録しました。

残念ながら、ランサムウェアの他の亜種が存在し、それぞれに独自のキルスイッチがある（場合によっては全くない）可能性もあるのです。

この脆弱性は、SMBv1を無効にすることによっても軽減することができます。 マイクロソフト社は、WindowsおよびWindows Serverにおけるこの方法の完全なチュートリアルを提供しています。Windows10では、Windowsキー＋Xを押してPowerShell（管理者）を選択し、以下のコードを貼り付けるとすぐに実行できます。

SMB1 は古いプロトコルであり、新しいバージョンでは WanaCryptor 2.0 の亜種に対する脆弱性は低くなっています。

また、システムが適切にアップデートされている場合、この感染による影響をすぐに感じることはほとんどありません。とはいえ、NHSの予約がキャンセルされたり、銀行の支払いがうまくいかなかったり、大切な小包が届かなかったりすれば、関係なく影響を受けることになります。

賢者にとって、脆弱性を修正することは常にうまくいくとは限りません。

次はどうなるのでしょうか？

英国では、オリジナルの「ナヴァリパルター2」はNHSへの直接攻撃と評された。これは割引されています。しかし、何十万人もの人々がマルウェアによる直接的な被害を受けたという問題は残ります。

このマルウェアは、明らかに意図しない結果をもたらす攻撃の特徴を備えています。サイバーセキュリティの専門家であるAfzal Ashraf博士はBBCに対し、「彼らは少額の資金を得ようと考えて小さな会社を攻撃したのかもしれないが、この会社はNHSに入り込み、今では国家の全権を握っている」と述べています。-なぜなら、明らかに**は、それが起こって成功する余裕がないからです。"

もちろん、ナショナル・ヘルス・サービスだけではありません。スペインでは、ElMundoがテレフォニカの85%のコンピューターがこのワームの影響を受けたと報じた。Fedexは、Portugal TelecomとロシアのMegaFonと同様に、影響を受けていることを確認しました。また、主要なインフラ事業者を考慮していない。

身代金を受け取るために作成された2つのビットコインアドレス（こちらとこちら）には、現在42件の取引から9.21BTC（執筆時約16,000ドル）が含まれています。とはいえ、ビットコイン決済が組織的に認知されていないことは、「意図せざる結果」という説を裏付けている。

では、次はどうなるのでしょうか？被害があった組織は、金銭的な損失とデータ的な損失の両方を数えながら、後始末を始めます。さらに、被害を受けた組織は、自社のセキュリティ対策をじっくり検討し、時代遅れで危険なWindowsXPオペレーティングシステムを置き去りにするアップデートを実行することを、私は本当に、心から願っているのです。

そう期待しましょう。

Encryption Program 2.0によって直接影響を受けることはありますか？データの紛失や予約のキャンセルはありませんか？ミッションクリティカルなインフラのアップグレードを強行すべきと**考えるか？WanaCryptor 2.0の体験談を以下にお聞かせください。また、私たちがお役に立てたようでしたら、シェアしてください。

Photo credit: me via Shutterstock.com website