2017年5月14日に発行した「ランサムウエア "WannaCrypt" に関する注意喚起」で取り上げたように、それ以後も世界各地でランサムウエアによる被害が継続しています。また、多数の PC やサーバに広く感染が拡大し、組織のネットワークやシステムに甚大な被害を及ぼしているケースも複数報道されています。JPCERT/CCでも、国内の組織にて多数の PC やサーバにランサムウエアの感染が拡大していたケースを確認しています。
ランサムウエアには複数の種類や亜種があり、"WannaCrypt (WannaCry)" は、その一つでしかありません。2017年6月27日(現地時間)に欧州を中心に被害が伝えられている "Petya" など、まったく異なる種類のランサムウエアが、世界各地で複数観測されています。
ランサムウエアに複数の種類や亜種があるように、感染経路も複数あります。JPCERT/CCで確認しているランサムウエアの主な感染経路として、次のものがあります。
(1) メールから感染に至るもの
メールに添付されたファイルや、記されたリンク先にアクセスすることで感染に至るケースがあります。
(2) Web サイト閲覧から感染に至るもの
攻撃者により不正なコードを挿入された Web サイトを閲覧することにより、攻撃サイトに誘導され、感染に至るケースがあります。
(3) ネットワーク接続中に感染に至るもの
ワーム機能を備えたランサムウエアの感染活動により、ネットワークに接続した PC やサーバに感染が拡大するケースがあります。
(4) その他
攻撃者により組織内のネットワークを横断的に侵害され、感染が拡大するケースがあります。
初期感染や感染の拡大においては、OS やソフトウエアの脆弱性を悪用されるケースがあります。"WannaCrypt (WannaCry)" やその亜種は、ワーム機能を備え、MS17-010 で修正される脆弱性を悪用し、感染を拡大することを確認しています。
また、2017年6月27日頃に欧州にて感染が報告されている "Petya" は、公開情報や報道されている情報が複数 (メールやソフトウェア更新を利用して配布された等) あり、2017年6月28日現在、JPCERT/CCでは感染経路等について確認はできていません。また、脆弱性 (CVE-2017-0199) を悪用して初期感染し、その後 "WannaCrypt (WannaCry)" と同様に、MS17-010 で修正される脆弱性 (CVE-2017-0144, CVE-2017-0145) を悪用して組織内の PC やサーバに感染を拡大するなどの情報があります。
特定のランサムウエアやその対策に注意するだけではなく、これら複数の感染経路に対して、総合的に対策を行い、ランサムウエア全般に対して備えることを推奨します。ランサムウエアに感染しファイルが暗号化された場合、ファイルを復号することが難しいため、バックアップを定期的に実行することを推奨します。ランサムウエアに感染したのち、その後の調査に必要なログが消去されるケースも確認しています。バックアップデータやログは、PC やサーバとは別に保管しておくことや世代管理なども検討してください。
独立行政法人情報処理推進機構 (IPA)
IPAテクニカルウォッチ「ランサムウェアの脅威と対策」
https://www.ipa.go.jp/security/technicalwatch/20170123.html
IPAテクニカルウォッチ「ランサムウェアの脅威と対策」
https://www.ipa.go.jp/security/technicalwatch/20170123.html
JPCERT/CCでは、ランサムウエアの被害低減を目指す国際的なプロジェクト「No More Ransom」の活動に賛同しています。今回の件につきまして、当方までご提供いただける情報がございましたら、ご連絡ください。今後、一定の情報収集と分析が整った段階で注意喚起を発行する予定があります。
早期警戒グループ
