特集2017年5月17日更新

世界的な大規模サイバー攻撃が発生

このところ、「ランサムウェア」を使った大規模なサイバー攻撃が世界各国で多発しています。現時点で世界150か国以上で被害が出ていると見られ、日本でも発生が確認されています。犯行の手口は?どんな被害が?そして犯人は?一連の状況をまとめました。

最新ニュース

首相、1月にバルト3国と東欧歴訪へ

読売新聞 / 2017年12月14日 7時29分

 安倍首相は来年1月中旬、バルト3国のエストニア、ラトビア、リトアニアと東欧のブルガリア、ルーマニア、セルビアの6か国を歴訪する方向で調整に入った。  日本の首相がこれらの国々を訪問するのは初めて。 [全文を読む]

「史上最大の規模」のサイバー攻撃

150カ国30万件以上で被害

5月12日ごろから世界各地で大規模なサイバー攻撃が発生し、その被害報告が相次いでいます。

 欧州警察機構(ユーロポール、Europol)のロブ・ウェインライト(Rob Wainwright)長官は14日、今回のサイバー攻撃による被害は世界150か国以上に及び、被害件数は20万件以上に上っていると明かした。ランサムウエアを使ったサイバー攻撃としては、史上最大の規模だという。

「処方箋が出せない!」イギリスでは医療機関が大混乱

世界的に被害が広がる中、イギリスが最も深刻な被害を受けたといわれていて、病院などのコンピューターが次々と使えなくなり、医療現場は大混乱に陥ったようです。

 「事務室のパソコンが、一台また一台と全てダウンした」「パソコンが全く応答せず、何もできない。患者が気の毒だ」「処方箋が出せない!」。12日午後1時半(日本時間同日午後9時半)ごろから、英国の病院や診療所、医療関係事務所などで、パソコンが次々とウイルスに感染。現場の医師や医療スタッフがツイッターで現場の混乱を発信した。

イギリスにある日産の工場も被害…生産停止に

 日産によると、英サンダーランド工場の生産システムがウイルスに感染していることが、現地時間の12日夕に判明。システムにアクセス不能となり、同日夜の生産停止を余儀なくなされた。

日本でも日立製作所などが被害に

世界的に被害が拡大していた頃、日本はすでに週末だったため、「多くの企業が動き出す週明けの15日に被害が拡大するのでは」と懸念されていましたが、大手企業では日立製作所やJR東日本から被害報告がありました。

 日立製作所によると、社内メールの一部で送受信が遅れ、メールの添付ファイルが開けないものもあるという。安全対策が済んでいない機器から感染したとみられる。
 JR東日本は5月15日、同社のPC1台がサイバー攻撃を受けたことを明らかにした。世界各地で猛威をふるうランサムウェア「WannaCry」の可能性があり、「原因を調査中」という。

ちなみに、JR東日本の案件は「12日に感染判明、15日に公表」というものでした。

「大阪市も被害?」との報道も一時あったが…

15日には大阪市のホームページが午前10時すぎから閲覧できなくなっていて、時期が時期だけに市はサイバー攻撃との関連も含めて調査を進めていましたが、結局、サイバー攻撃との関連性はなかったといいます。

 市によると、外部からの通信を制御する装置に誤作動が生じ、全てのアクセスを受け付けない状態になった。 

警察が把握した国内の被害は2件

警察庁の発表によると、15日午前11時時点で警察が把握している国内の被害は2件のみ。茨城県内の総合病院と香川県の個人だといいます。

12時間に国内の2000端末が感染か

 サイバー攻撃の対応支援を行う一般社団法人「JPCERT(ジェイピーサート)/CC」(東京都)によると、14日朝までの12時間に国内の2000端末が問題のウイルスに感染した可能性があるという。

Twitterでも大きな騒ぎに

中にはこんなツイートも

攻撃に使用されているのは「WannaCry」

Windowsの旧バージョンが標的に

今回のサイバー攻撃は、マイクロソフトの基本ソフト(OS)「Windows」の脆弱性につけ込んだもので、主に旧バージョンの「XP」が標的にされているようです。逆に最新版のWindows 10には今回の攻撃は「無効」であることが、後述の日本マイクロソフトのブログで言及されています。
なお、セキュリティソフト「ノートン」の公式Twitterによると、Windowsが標的であるためmacOSには感染しないとのこと。さらに、別の記事によるとAndroidやiOSを搭載したスマートフォンなどへの感染もないということです。

ランサムウェア「WannaCry」とは?

被害の拡大を受けて日本マイクロソフトが公開したブログによると、今回のサイバー攻撃で使用されているのは「WannaCrypt, WannaCry, WannaCryptor, Wcry」などと呼ばれるランサムウェアだといいます。

 今回、攻撃に使われて世界各地で被害が出ているのは、「WannaCry」(泣きたくなる)と呼ばれる新種のランサムウェア。
 情報セキュリティー会社トレンドマイクロによると、4月以降、メール本文などに書かれたアドレスをクリックすると感染する手口で全世界に拡散した。

今回の騒動を伝える記事では多くのメディアで「WannaCry」と呼ばれています。「泣きたくなる」というのは、感染者の気持ちを表しているといったところでしょうか。

PCを使えなくして“身代金”を要求

では、ランサムウェア「WannaCry」に感染するとどうなるのか、具体的に見ていきましょう。
まず「ランサムウェア」とは、感染したPCのファイルを暗号化して、解除のために金銭を要求するマルウェア(悪意のあるソフトウェア)のことです。そのため、「身代金要求型ウイルス」とも呼ばれています。そもそも「ランサム(ransom)」とは「身代金」という意味です。

ランサムウェアとはどんなものかと言うと、画面をロックし制御不能にします。当然今までの作業はすべて中断されます。保存してあるから大丈夫とか関係はありません。そもそもPCが使えなくなるのです。これを解除するには「身代金」を要求してきます。

今回のケースは「ビットコインで300ドル」

今回の「WannaCry」に感染すると、300ドル相当の身代金を仮想通貨「ビットコイン」で支払うよう要求してくるそうです。

 感染すると、300ドル(約3万4000円)を仮想通貨ビットコインで支払うよう要求するメッセージがスクリーンに表示される。メッセージは、支払いが3日以内にされないと金額が2倍となり、7日以内に支払いがなければデータファイルは消去されるとする警告文だ。

PCだけでなく、OSにWindowsを使っているシステムが感染すると、赤い身代金要求画面が出てきて使用できなくなるようです。
下に紹介するのは、日本のイオン、中国のガソリンスタンド、ドイツの交通案内の画面だといいます。

基本的に「Office」や「プログラム」「データベース」等マイクロソフト系のありとあらゆるファイルが暗号化され使用不能になりますので、感染したら3万4千円を払わない限り復旧はできません。

復旧させるには身代金を払うしかないようで、「WannaCry」による攻撃は、まさに「泣きたくなる」最悪の手口といえます。

「WannaCry」の“停止スイッチ”22歳青年が作成

猛威を奮う「WannaCry」の拡散を止めるべく、世界中のセキュリティ専門家が対応に当たりました。その中で英国のセキュリティ企業に勤める22歳のマーカス・ハッチンズ氏が「WannaCry」の「キルスイッチ(停止スイッチ)」を発見。このスイッチでコードの実行を止めることで攻撃を一時的に停止させることに成功、全米への拡散を抑えることが出来たといいます。

 ハッチンズ氏はWannaCryのサンプルを分析中に偶然キルスイッチを見つけたという。このランサムウェアが未登録のWebアドレスにリンクされていることに気付いた同氏は、直ちにそのドメインを登録。それが結果的にWannaCryの感染阻止につながった。未登録ドメインを登録するのは、サイバー脅威を追跡、阻止する方法を見つけるために同氏が日頃から行っていることだ。
 ハッチンズ氏が欧州時間の12日午後にこのキルスイッチを発見したことで、全米への感染を抑えることができた、とKryptos Logicのサリム・ネイノCEOは誇らしげだ。

ドメイン登録がキルスイッチの発見につながったのは「偶然」だったと語るハッチンズ氏のツイート。このツイートに対し「ありがとう!」「あなたが世界を救った」などの感謝のリプライが多数寄せられています。

しかし早くも亜種が登場、いたちごっこの様相に

しかし、セキュリティベンダーのHeimdal Securityによると、キルスイッチを回避する「WannaCry」の亜種「 Uiwix」が既に登場しており、同様の手口で今後も同種のランサムウェアの拡散が続く可能性が指摘されている。

マイクロソフトも“異例の対応”

こういった状況を受け、マイクロソフトはサポート終了した過去のOSに対しても修正プログラムの提供を開始するという異例の対応をとっています。

 Microsoftは修正プログラムについて再案内しているほか、サポートが終了しているWindows XP、8、Windows Server 2003向けの修正プログラムも公開した。こうした対応は異例といえる。

果たして犯人は?

被害の規模が大きいため、被害の状況や対処法を伝える記事が大半を占めていて、今回の攻撃の「犯人」に言及している記事は少数です。
ただサイバー攻撃である以上、どこかの誰かが「攻撃」しているわけですので、そのあたりに触れている記事をいくつか紹介しておきます。

 ハッカーの身元やその動機については、現時点では明らかになっていない。被害に遭った国々では現在、安全保障当局が犯人特定に全力を注いでいる。
 犯人像については、個人とは考えにくく、サイバー犯罪を専門とする地下組織がかかわっているとみられる。
 カスペルスキーによると、同マルウエアは今年4月、NSAの流出文書からこの欠陥を発見したと主張するハッカー集団「シャドー・ブローカーズ(Shadow Brokers)」によって公開された。
IPAの江口純一セキュリティセンター長は、今回確認された攻撃が、従来、主に個人を狙ってきたランサムウェアの攻撃から「一歩進化したもの」と注意を喚起。その理由は「既に修正プログラムが出された脆弱性を悪用し、組織を狙い、かつ世界で同時多発的に攻撃があったこと」で、警戒すべき攻撃とした。

セキュリティ会社は北朝鮮との関連を指摘

アメリカのセキュリティー会社「シマンテック」とロシアのセキュリティー会社「カスペルスキー」は、今回の攻撃に使われたランサムウェアのコードに、過去に北朝鮮のハッカー集団が使用したプログラムが含まれていたと指摘しました。

両社はワナクライの旧バージョンで使用された一部コードについて、多くの専門家が北朝鮮のハッカー集団とみているラザラス・グループが過去に使用したプログラムにも含まれていたと指摘した。また、使用されたコードをさらに調査する必要があるとし、他の機関にも分析への支援を要請したという。

感染しないための対策と感染時の対処法

感染すると「泣く」しかないため感染しないことが大事

「WannaCry」によるサイバー攻撃の拡大を受けて、独立行政法人「情報処理推進機構(IPA)」がホームページを更新して、感染対策を呼びかけています。
これによると、「対策」は以下の3点です。

1.不審なメールの添付ファイルの開封やリンクへのアクセスをしない
2.脆弱性の解消 - 修正プログラムの適用
3.ウイルス対策ソフトの定義ファイルを更新する

不審なメールの取り扱いに注意

特に、今回観測されているランサムウェアはメールに添付されたファイルを開封することで感染するとされているので、不審なメールの取り扱いにはとにかく注意する必要があります。

 IPAの担当者は「不審なメールは開かずにすぐに削除して」と指摘。ウイルス対策ソフトを最新版に更新して添付ファイルを検査してから開くのが望ましいという。

修正プログラムやウイルス対策ソフトは最新に

ただ、メールだけ気をつけていればいいかというとそうではありません。感染経路はほかにもあって、政府が設置している「内閣サイバーセキュリティセンター」の公式Twitterによると、「現時点で感染侵入経路の確定的な情報はなし」としつつ、ネットワークでつながっている機器の間でも感染が広がるとしています。

今回の攻撃は、ランサムウエアとワーム機能を組み合わせた特殊なものだったため、1台のコンピューターが感染すると、ネットワーク上にある他の脆弱なコンピューターにも感染が及ぶようになっていた。

したがって、IPAも指摘しているように、マイクロソフトから提供されている最新の修正プログラムを適用しつつ、各自でインストールしているウイルス対策ソフトを最新のものにアップデートすることが大事になります。
この点については、内閣サイバーセキュリティセンターも公式Twitterで詳しい対応方法とともに注意喚起をしています。

身代金は「絶対に払わないで」

 万が一、感染した場合はどうすればいいのか。1台が感染すれば、社内のネットワークなどを通じて被害が拡散する可能性があるため、すぐにネットから切断するのが鉄則だ。
 身代金については「絶対に払わないで」(担当者)とする。支払い時に攻撃者に情報を提供してしまうことになり、攻撃が繰り返される可能性があるためだ。

今回の攻撃に使われている「ランサムウェア」は、手口としてはそれほど目新しいものではないようです。まずはOSのアップデートなど、今回ご紹介した方法の実行。そして普段から「不審なメールは開かない」「不審なリンクをクリックしない」を徹底すれば感染の可能性はぐっと低くなります。仮にそういったものに感染してしまったとしても、「すみやかに該当のPCをネットワークから切り離してからウィルス駆除し、ディスクをきれいにする(重要なファイルは普段からバックアップを取っておく)」という大原則を守れば、ほとんどの場合、解決できるので、パニックにならずに対処しましょう。