WannaCry

WannaCry（ワナクライ、WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor, WCryなどの別称あり）は、Microsoft Windowsを標的としたワーム型ランサムウェアである。

2017年5月12日から大規模なサイバー攻撃が開始され、150か国の23万台以上のコンピュータに感染し、28の言語で感染したコンピュータの身代金としてビットコインを要求する。

概要

確認されている最も古い感染例は、2017年4月25日にトレンドマイクロが確認した、Dropboxの短縮URLを悪用したものである。同年5月12日頃より本格的に感染を拡大した。このランサムウェアは、電子メール・ワーム・マルウェアなど複数の方法によって感染し、ユーロポールが「前例のない規模」と発表するほど大規模であった。

技術的には、主にWindowsのSMBv1の脆弱性MS17-010を利用して感染するものと見られている。この脆弱性については、2017年3月14日時点でマイクロソフトがセキュリティパッチを公開している。このパッチをインストールしなかったコンピュータが感染し、被害が拡大した。被害にあったコンピュータの殆どのOSはWindows 7であった。

サイバー攻撃当初、サポート終了済みの古いOSにはパッチが提供されないがゆえに、特に危険に晒されていたので、マイクロソフトではWindows XP、Windows Server 2003、8.1未適用のWindows 8にも、2017年5月13日に臨時のセキュリティパッチを提供するという異例の対応を行った。

背景

4月14日に、シャドー・ブローカーズを名乗る集団が、Microsoft Windowsの脆弱性MS17-010を標的とするエクスプロイト攻撃ツールEternalBlue、およびバックドアプログラムDoublepulsarなどの複数の攻撃ツールをまとめた「FuzzBunchツールキット」をインターネット上で公開した。

これらの攻撃ツールは、アメリカ国家安全保障局（NSA）が開発したもので、NSAの一部と考えられているイクエーション・グループから情報漏洩したものとみられる。「WannaCry」には「Eternalblue」と共に「Doublepulsar」が使われている。また、シャドー・ブローカーズに先駆けて2016年3月から中国政府と関連するとされるハッカーグループ「Buckeye」はこれらのツールをNSAから攻撃を受けた際に盗み出して改良して一部に流出させていたことをセキュリティー大手シマンテックが発表している。

被害

コンピュータセキュリティ会社カスペルスキーによると、最も大きい影響を受けた4か国は、ロシア・ウクライナ・インド・台湾であるとしている。