【WannaCry】感染PCから?日本への通信が5倍に増加!

2017年5月、世界各地で被害が出た「WannaCry」と呼ばれるコンピューターウイルスに感染したPCからと見られる日本国内への通信数が、今月、発生当初の5倍の1,500件余りに上っていたことが発覚しました。

「WannaCry」は、PCのOS「Windows」のセキュリティの欠陥を突いてPCに侵入し、内部のファイルを暗号化して身代金を要求するもので、2017年5月イギリスの病院で患者の救急搬送に支障が出るなど世界各地で大きな被害が出た事で有名です。

日本への影響の監視を行う警察庁の「サイバーフォースセンター」が調べた結果、「WannaCry」に感染したPCからと見られる日本国内への通信の数が、初めて感染を確認した5月12日の293件から2ヶ月後の7月12日にはおよそ5倍の1,500件以上に上っていた事がわかりました。

発信元は少なくとも9ヶ国に上り、ロシアや中国が多く、2017年6月以降は「WannaCry」を作り替えた亜種のウイルスを多く検知しているということです。
亜種はファイルを暗号化しないため感染に気付かれにくく、元のウイルスにある活動を自動的に停止する仕組みがないということで、警察庁は感染の拡大につながっていると見てPCを最新の状態に保つなど対策を徹底するよう呼びかけています。

スポンサーリンク

そもそも「WannaCry」とは?


Windowsの脆弱性を悪用し、感染したPCのデータファイルを暗号化して「ビットコイン」で身代金300ドル(ものにより変動)を要求する、トロイの木馬型ランサムウェアです
要求を無視すると、3日後には要求金額が2倍に、7日過ぎても支払いがなければ暗号化されたファイルが削除される、という動きになっています。

暗号化されるファイルの拡張子は、「.jpeg」「.ppt」「.txt」「.doc」「.zip」など150以上あり、暗号化後、ファイル名の末尾に「.WCRY」という拡張子が追加されます。
暗号化されたファイルの復号は、現時点では不可能と言われています。
身代金を支払うことはすすめておらず、暗号化されてしまったファイルは、可能ならバックアップから復元するよう呼び掛けています。

最新のWindowsセキュリティ更新プログラム(特にMS17-010)が適用されているPCなら感染のすることはないという事ですが、この手のウィルスやランサムウェアは、日々改良・亜種が発生しています。
セキュリティを最新にしておく事はもちろんですが、同時に他のセキュリティソフトも導入しておく事をおすすめします。
常にバックアップを取っておく事も対策の一つとなります。

コンピュータウィルスの種類

コンピュータウィルスの公的な定義

JIS X0008「情報処理用語-セキュリティ」における定義は、「自分自身の複写、又は自分自身を変更した複写を他のプログラムに組み込むことによって繁殖し、感染したプログラムを起動すると実行されるプログラム。」となっています。

また、「コンピュータウイルス対策基準」(通商産業省告示)による定義は次の通りになっています。
第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。
1.自己伝染機能 自らの機能によって他のプログラムに自らを複製又はシステム機能を利用して自らを他のシステムに複製することにより、 他のシステムに伝染する機能
2.潜伏機能 発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
3.発病機能 プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能

マルウェア

マルウェア (malware) とは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスやワームなどが含まれます。

マルウェアは、感染したPCのデータの破壊やデータの盗難などを行いますが、こうした「悪意のある」行動をするソフトだけではなく、ユーザの望まない広告を勝手に出すアドウェアのような「迷惑ソフト」(の中で悪質なもの)もマルウェアの範囲に入ります。

マルウェア(malware) は、「悪意のある」という意味の英語「malicious(マリシャス)」と「software」を組み合わせて創られた言葉です。

ワーム

ワームとは、独立したプログラムであり、自分自身を複製して他のシステムに拡散する性質を持ったマルウェアです。
宿主となるファイルを必要としない点で、狭義のコンピュータウイルスとは区別されていますが、ネットワークを介して他のコンピュータに伝染していく点では共通しており、同一視されることもあります。

トロイの木馬

トロイの木馬は、マルウェアの一つに分類されます。
ギリシア神話におけるトロイア戦争のストーリーにあるトロイの木馬になぞらえて名前がつけられたもので、名前の由来の通り、有用な(少なくとも無害な)プログラムあるいはデータファイルのように偽装されていながら、その内にマルウェアとして機能する部分を隠し持っていて、何らかのトリガによりそれが活動するように仕組まれているファイル等を指しています。
感染したりしないものは分類上はコンピュータウイルスには分類されませんが、毎年いくつかの新種と、膨大な数の亜種が作り出されています。

今回の「WannaCry」もトロイの木馬型に分類されています。
トロイの木馬型には、以下のものも含まれています。
■スパイウェア型 ( 情報窃取 )
■ダウンローダー型 ( 他の不正プログラムを呼び込む )
■ドロッパー型 ( 活動すると不正プログラムを生成し感染させる )
■バックドア型 ( 不正侵入後の裏口 )
■アドウェア型 ( 広告をポップアップで表示 )
■ダイヤラー型 ( ダイヤル回線を勝手に変更 )

ロジックボム

指定時刻に到達したり、システム上における条件が満たされると自動的に動作を開始するプログラムをロジックボムと呼ばれます。
多くはデータの破壊・盗用などを行った後、最終的に自分を消滅させます。
また、自滅の際に、あらかじめ搭載された不正プログラムを拡散させるものもあるなど、被害の拡大を狙ったものもあります。

ロジックボムの例としてチェルノブイリ (コンピュータウイルス)があります。
ウイルスがそういった機能を含んでいることも多いですが、感染機能等を持っていないものはロジックボムであってもウイルスではないとされています。

ボット

本来は、Google等の検索エンジンのサーチボット、MMORPGでのボットなど自動応答などを行うプログラムを指す言葉ですが、マルウェアの分類としては以下のような機能を持つものを指す。

1.ソースコードが公開されており、改変した亜種の作成が容易である。
2.メールや不正アクセス等の手段により広範囲に感染拡大する(ワームやウイルスに相当する能力を持っている)。
3.バックドア等により悪意を持った者がパソコンを不正に制御できる。
4.パソコンに侵入して感染拡大などの不正動作を、所有者が気づかないうちに実行する。
5.広範囲に感染拡大させたパソコンから、ネットワーク上の特定のサイトを一斉に攻撃する。(DDoS攻撃)

これらはいずれも不正ソフトウェアの既知の行動パターンであり、これらの機能を高度に統合したものをボットと呼びます。
特に、ボットネットと呼ぶ不正行動のためのネットワークを形成するものを指します。

最後に

今回の「WannaCry」をはじめ、様々なマルウェア・ウィルスが出回っています。
Windowsの更新を最新にしていても、セキュリティソフトを導入していても、どうしても最新や亜種のマルウェアには全て対応し切れません。

仕事上でも個人でもそうですが、感染経路は様々あります。
これらに感染しないためには、個人の意識が大事です。

怪しいサイトは開かない。
怪しいリンクはクリックしない。
不明なアプリ・ソフトのインストールは行わない。
怪しいメールは開かない。
メールの添付ファイルは、ウィルスチェックを行う。
セキュリティ更新は、常に最新にしておく。
セキュリティソフトの定義は、最新に更新しておく。
信頼できる場所・人から受け取ったストレージ(USBやSDカード)以外は、PC・スマホに繋がない。
セキュリティの甘いFreeWiFiには繋がない。

などなど、色々自分で気を付けられるところはありますので、注意していきましょう。