2017年5月12日頃から、世界各地でランサムウェアに感染する被害が相次いで報告されています。ランサムウェアはWannaCry等と名前が付けられているもので、これに感染する原因として、Windowsの脆弱性、及びその脆弱性を用いたNSAが開発したツールが関係している可能性があると各国のCSIRTやセキュリティベンダが注意喚起等を公開しています。Microsoftは今回の感染事案を受け、WindowsXPなどのサポートが切れたOSを対象とした緊急の更新プログラムも公開しました。
ここではこの世界中で発生したランサムウェア WannaCry の感染被害などについてまとめます。
インシデントタイムライン
以下は主に国内の関連事象を整理したもの。
| 日時 | 出来事 |
|---|---|
| 2016年9月16日 | MicrosoftがSMBv1の使用停止を強く推奨する記事を公開。 |
| 2017年1月16日 | US-CERTがSMBv1の無効化を含むSMBのセキュリティにおけるベストプラクティスを公開。 |
| 2017年3月14日 | Microsoftがセキュリティ情報 MS17-010を公開。 |
| 2017年4月14日 | Shadow BrokersがETERNALBLUEなどを含む様々なExploitを公開。 |
| 同日 | MicrosoftがShadow Brokersが公開したExploitはいずれも修正済みだと報告。 |
| 2017年4月25日 | DropboxのURLを悪用したWannaCryが確認されているとしてTrendMicroが情報を公開。 |
| 2017年5月12日夜〜13日未明 | WannaCryの感染キャンペーンが開始された模様。 |
| 同日 | MS17-010で修正された脆弱性を通じてWannaCryが世界規模で拡散されていると多数の報道。 |
| 同日 | MicrosoftがRansomwareによる攻撃への声明を公開。サポート終了済のOSにも緊急パッチを公開。 |
| 2017年5月14日 | IPAが記者会見を開き、WannaCryに対し、週明けの就業前に対応をとるように注意喚起。 |
| 2017年5月15日 | 日本政府が首相官邸危機管理センターに情報連絡室を設置。*1 |
| 同日 | 官房長官記者会見において、当該事案に対しての「懸念はない」と官房長官がコメント。*2 |
| 2017年5月15日 20時頃 | 別のキルスイッチを利用するWannaCryが確認される。*3 |
| 2017年5月16日 | 官房長官記者会見にて、北朝鮮関与との報道に対し、全体を掌握する中で対応しているとコメント。*4 |
| 2017年5月23日 | Symantecが北朝鮮関与の可能性が高いと発表。 |
注意喚起等
- Microsoft Customer Guidance for WannaCrypt attacks
- CCN-CERT Identificado ataque de ransomware que afecta a sistemas Windows
- US-CERT Multiple Ransomware Infections Reported
- US-CERT Alert (TA17-132A) Indicators Associated With WannaCry Ransomware
- JPCERT/CC ランサムウエア "WannaCrypt" に関する注意喚起
- IPA 世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について
- 総務省 世界的な不正プログラムの感染被害について(注意喚起)
感染被害件数
| 報告元 | 被害国 | 被害件数 |
|---|---|---|
| Avast | 57か国 ⇒99か国 ⇒104か国 ⇒112ヵ国 ⇒116ヵ国 |
5万7000件(初報) ⇒7万5000件(5/12 12:15PT) ⇒12万6000件以上(5/13 6:10CET) ⇒21万3000件以上(5/15 4:23 CET) ⇒25万件以上(5/16) |
| Kaspersky | 74か国 | 4万5000件以上 ⇒33万8765台以上(5/17) *5 |
| FOX IT | − | 17万以上 |
| EUROPOL*6 | 少なくとも150か国 | 20万件以上 |
| 米ホワイトハウス (大統領補佐官発言) *7 |
約150ヵ国 | 30万件以上 |
日本国内の被害の状況
| 報告元 | 把握状況 |
|---|---|
| セキュリティベンダ | 日本での被害はTrendMicro、Kasperskyの2社がセキュリティ対策ソフトで検知した件数の集計を通じて攻撃の発生を確認している。 実際に感染被害が出ているかどうかは不明。*812日朝から24時間以内に数百件検出している。*9 Kasperskyによれば全体の検出数の6%が日本国内で確認されたもの。この状況は英国と同水準。*10 TrendMicroによれば、12日から15日までのランサムウェアに関する問い合わせは175件。そのうち実際に感染が確認されたのは9件。*11 また、7日9時から15日9時までに1万6436件の攻撃を遮断したと報告。 |
| 警察庁 | [PDF] 世界的規模のランサムウェア感染事案の発生について 各都道府県警を通じて情報収集を行っている。5月13日午後時点で日本政府や企業などでの被害は確認されていない。*12 *13 14日に警察庁の調べで2件の被害が確認された。当局が捜査を開始。*14 15日17時時点で5件追加(合計7件) *15さらに17日に9件*16。18日に5件*17。19日に4件*18を追加で把握。 |
| NISC | Twitterを通じて、5月13日21時時点で国内での大きな被害報告が入っていないことを明らかにした。 |
| IPA 経済産業省 |
5月14日時点で感染事例を把握していないことを明らかにしている。*19 15日夕までに相談が51件寄せられ、この内16件で感染が確認されたと発表。感染したのは個人が多くを占める。*20 |
| JPCERT/CC | 13日から14日にかけ、約600か所、約2000の端末で感染を確認したと報じられる。*21 |
| LAC | 自社セキュリティ監視サービスにおいて、複数の顧客でWannaCryに感染したとみられる通信を検出。*22 |
関連が疑われる事例
日本国内で被害が確認された等と報じられている事例は次の通り。 *23 *24 *25
| 対象 | 発生・把握日 | 発生事象 |
|---|---|---|
| JR東日本 高崎支社 | 5月12日頃 | 関東地方支社でインターネット閲覧に使用しているPC1台が感染。 PCは社内イントラネットには接続されておらず、運行等業務への影響はない。*26 インターネット閲覧中に感染を示す画像が表示された。メール機能はこの端末には存在しない。*27 15日に警察へ被害の相談。*28 |
| 近鉄エクスプレス | 5月12日以降 | 東京都内事業所にある37台の端末が感染。感染した端末は社内ネットワークには接続されていなかった。*29 |
| 滋賀県内の個人(50代男性) | 5月12日夕 | 自営業男性の端末1台が感染。600ドルを要求する画面が表示されていた。 インターネット閲覧中に感染を示す画像が表示。 15日に報道で被害に気づき、翌日に交番に相談。 滋賀県内で把握された2例目。*30 |
| 滋賀県内の個人(50代男性) | 5月12日16時頃 | オークションサイト利用後席を外し、30分後に戻ったところ感染を示す画像が表示されていた。 ウイルス対策ソフトは更新していなかった。 16日に甲賀署署員に相談。 OSはWindows 7。*31 |
| 愛知県内のコンビニ | 5月12日 | 防犯カメラの管理端末1台が感染。インターネットには接続されていたがメールやウェブサイトの閲覧は行っていなかった。*32カメラの映像が漏えいする被害などは確認されていない。*33 |
| 日立金属 | 12日夜 | メールの送受信や添付ファイルが開けなくなるなどの障害が発生。*34 |
| 日立製作所 | 5月12日深夜 | ランサムウェアによる被害および復旧状況について メール管理システムの一部で障害発生を確認。メールの送受信や添付ファイルの開封が出来ない事態。 海外のグループ会社でも12日から同様の障害が確認されている。*35 その後感染が多発しているランサムウェアと同じであることが確認された。*36 サーバーを切り離す等して一部は復旧している。*37また一部は電話やFAXの利用に業務を切り替えている。*38 家電量販店等と取引をする受発注システムにも影響が及び障害が発生。*39 ドイツのグループ会社事業所にある電子顕微鏡の操作装置からネットワークを通じて世界中の事業所に拡散した可能性がある。*40 |
| 富士・富士宮市消防指令センター | 5月12日 | 指揮車3台に配備されていたタブレットの内、1台が感染。 火災・救急等の現場から動画をリアルタイムに送信するための専用機。 作業には支障がなかったことからそのまま継続して使用していた。 報道等を受けて15日に署員が報告。*41 ウイルス対策ソフト、OSの更新は動作不安定となることから実施しない設計となっていた。*42 |
| 墨田区の樹脂メーカー | 13日昼 | 出社した際にマシンがブルースクリーンとなっていた。再起動後にランサムウェア感染を示す画面が表示。夕方にはもう1台別の端末でも同じ症状が発生。 OSはWindowsXPで、使用ソフトによる制限で利用していた。 |
| 東大阪の会社事務所 | 13日夜 | 防犯カメラの映像が映らなくなった。管理PC上に感染を示す画面が表示された。 |
| 日立総合病院 | 13日 | 警察が実施した病院等の重要施設への被害聞き取り調査により発覚。業務影響は出ていない。 13日からメールの送受信が出来ず、またファイルも添付できない事象発生。*43 |
| 大分県内の個人(70代男性) | 5月14日 | 自宅の端末が感染。本人から感染の届け出があり発覚。*44 |
| 香川県内の個人(20代女性) | 5月14日午前中 | 本人から感染の届け出があり発覚。支払い画面が突然現れた。ファイルの一部が開けず。*45 OSはWindows 7。*46 |
| 滋賀県の個人(81歳女性) | 5月14日午後2時頃 | 自宅PCを使ってインターネット検索中に感染を示す画像が表示された。15日に警察へ相談。*47 OSはWindows 7。*48 |
| 川崎市上下水道局 | 5月15日8時頃 | 上下水道局におけるランサムウェアの感染について 国際事業担当部署の庁内ネットワークからは切り離されたインターネット専用端末1台で発生。 担当職員が起動させたところ感染を確認した。週末は電源をオフにしていた。*49 感染した端末を交換し、業務影響無し。 大容量データの送受信や海外の取引先との連絡に使用していた。 OSはWindows 7。*50 後日警察へ被害を申告。 |
| 市川市排水機場 | 5月15日15時頃 | 職員が起動させたところ河川・下水道監理課の端末1台が感染していたことを把握。 端末はインターネットに接続され、気象情報を確認するために使用されていた。 役所内のネットワークには接続しておらず、業務への影響は無し。*51 |
| 群馬県内の企業 | 5月15日 | 自組織にて対処が行われた模様。*52 |
| 東急電鉄 | 15日 | 渋谷区本社の端末1台が感染。 当該端末は社内イントラネットに接続されておらず、運行システムへの影響なし。*53 財務担当の職員が企業情報を閲覧するために起動させたところ感染を示す画面が表示された。 |
国外の感染被害の具体的事例
| 発生国 | 被害組織 | 発生事象 |
|---|---|---|
| 英国 | NHS(国民保健サービス) | Statement on reported NHS cyber attack UPDATED Statement on reported NHS cyber-attack (13 May) ランサムウェアに感染し当該サービスを提供する248団体の内、48団体で端末利用が出来なくなる障害が発生。 14日午前0時時点で6団体がまだ復旧できていない。*57 内務省によればその後影響を受けた病院の内、97%が通常業務に復旧している。 英国内相は攻撃は無作為であり、NHSが直接の標的として狙われたものではないとコメント。英国保健当局は今回のこの事態を重大な事件として警告。 NHSに登録された患者情報がアクセスされたとの情報は確認されていない。*58 NHSより提供されていたシステムが一部地域で停止する事態となった。これにより次のような影響が生じた。 (1)システムがロックアウトされ、患者のファイルなどを確認することが出来なくなった。手書きによる事務に切り替えた。 (2)複数の医療機関で診療が行えなかった。 (3)レントゲン撮影を行うことが出来なくなった。 (4)予定されていた心臓手術が中止となった。 (5)救急搬送された患者を受け入れられず救急車の行先変更が必要となった。(6)急患以外は受診に来ないよう呼びかけが行われた。*59 英国では合計62の病院が影響を受けた。*60またスコットランド、ウェールズ等の病院には影響は及ばなかった模様。名前が挙がっている場所は次の通り。*61 NHS Glasgow、NHS Lanarkshire、NHS Dumfries and Galloway、NHS Forth Valley、NHS Tayside、NHS Western Isles、NHS Borders、NHS Fife、NHS Ayrshire and Arran、NHS Grampian、NHS Highland 病院の9割では少なくとも1台以上のWindows XPが使い続けられていたが、これは直ぐに更新することが難しいMRIなどであり、全体としては4.7%が残っていることがNHSより発表された。 |
| 英国 | 日産サンダーランド自動車工場 | 13日頃より工場内で障害が発生し、自動車生産が一時的に止まるなどして影響が生じた。*62 日産広報担当者はこの事案によるビジネス上の影響はないと説明。 日産は他国の工場にも同様の被害がないか調査を進めている。 同工場ではキャシュカイ、リーフ等年間約50万台の車を生産している英国最大の拠点。*63 従業員数は約7000人。 週末は操業をしていなかったことから影響は小さく、15日より通常生産へ復旧した。*64 |
| ロシア | 内務省 | 内務省内のPC約1000台が攻撃を受けた模様。同省で使用されるマシン数全体の約1%未満。 非常事態省、保険証などでも被害が確認されている。 |
| ロシア | MegaFon | コールセンター業務に支障が生じた。*65 |
| スペイン | テレフォニカ | Incidencia ciberseguridad テレフォニカのマシン85%に影響が及んだ。 発生当時、拡声器を使って従業員に即時停止を呼びかけした。 |
| フランス | ルノー | スロベニアのノボメストの子会社 Revoz本社のマシンが影響を受けた。 部品の組み付けなどの生産に支障が及ぶことから12日夜に生産ラインの稼働を停止。13日も停止したままの状態となった。*66 |
| ドイツ | ドイツ鉄道 | フランクフルトの駅などで 列車の発着時刻を表示する電光掲示板で障害が発生した。 列車の運行には直接的な影響は生じていない。 |
| 中国 | 国営中国石油天然気集団公司 | 直営のガソリンスタント約2万店で電子決済が利用できなくなる障害が発生。現金支払いにて対応。*67 |
| 韓国 | CJ CGV | 15日早朝、一部の映画館の広告サーバー、ロビーに設置されたディスプレイ用サーバーが感染。*68 詳細状況は調査中だが映画の上映は支障なく行われている。 |
| インドネシア | ダルマイス病院 | 国内最大規模のがん専門病院で13日に受付システムで障害発生。 手作業にて暫定対応したが、15日午前は数百人の患者が長時間待機する事態となった。*69 |
| ブラジル | 国立社会保険院 | システムの一部で障害発生。年金の受け取り手続きが不可となった。*70 |
その他影響を受けたとして名前が挙げられていた被害組織
| 国 | 被害が確認されたと報じられた組織 |
|---|---|
| アメリカ | FedEx |
| ロシア | ロシア中央銀行、ロシア鉄道 |
| 中国 | 北京大学、上海交通大学、山東大学、南昌大学、大連海事大学、桂林航天工業学院、中国石油天然気、中国公安省、孫逸仙大学 政府機関、病院、大学などの約2万9000団体のマシンが感染したと新華社通信が報じた。*71 |
| インド | アンドラプラデシュ州警察、マハラシュトラ州警察等約100か所で被害。 約6割の国内銀行が対策未実施のためATMの一時停止をインド準備銀行が要請。 |
| インドネシア | 首都ジャカルタにあるダルマイス病院等2つの病院で発券システムで障害発生。*72 |
| スペイン | Vodafone Espana、KPMG consultancy、BBVA銀行、santander銀行、Iberdrola |
| ポルトガル | Portugal Telecom |
| ルーマニア | ダチア |
| ブラジル | サンパウロ州司法裁判所、携帯電話会社Vivo、航空会社LATAM |
| コロンビア | 臓器移植データベースシステム |
| アルゼンチン | 国内の通信企業 |
| タイ | バンコク市内2か所の電光掲示板で障害発生。 |
| シンガポール | 商業施設数か所の電光掲示板で障害発生。 |
| 韓国 | 13日から18日にかけ国内企業18社が被害届を提出。*73 |
| 台湾 | 10の学校、国営電力会社、病院、少なくとも1件の台中中心部の民間企業での感染が確認されている。*74 |
| 他名前が出ていた国 | イタリア、トルコ、メキシコ、ウクライナ、ベルギー、ベトナム、オーストラリア |
その他感染報告ツイート
- https://twitter.com/amtinits/status/863166195461238784
- https://twitter.com/lostinabc/status/863273548177068033
- https://twitter.com/decrypfile/status/863367933929545729
- https://twitter.com/JamesMcLeary/status/863748297630011392
- https://twitter.com/ALiCE6TY9/status/863346642161762304
- https://twitter.com/ColtSsr/status/863705211696668672
- https://twitter.com/HackRead/status/863800963500580865
- https://twitter.com/mjos_crypto/status/863359551776673792
感染するランサムウェア「WannaCry」の詳細
感染対象のマシン
- MS17-010で公開された更新プログラム未適用のWindows 7、Windows Server 2008、またはそれ以前のOSを対象に感染する。設計上、Windows 10はこの攻撃の影響を受けない。(Microsoft)
ドロッパーの挙動・特徴
- 開発者が設定したドメインに接続しようと試み、これに失敗した場合にRansomwareに感染する。接続に成功した場合実行が停止され、感染することはないキルスイッチの動作をする。(Microsoft)
- このキルスイッチが存在しないバージョンもすでに確認されているとの報告もあったが、これは後に攻撃で使用されたものではないことが判明した。
- 確認されているキルスイッチのドメインはリサーチャーにより全てシンクホールとされている。*75
- ドロッパーは「mssecsvc2.0」という名称のサービスを作成する。このサービスを通じて他のマシンへ感染をしようとする。これにはSMBの脆弱性、およびDoublePulsarのバックドアが悪用される。
キルスイッチのサイト
| 発見日 | キルスイッチ接続先/検体サンプル | 悪用の有無 |
|---|---|---|
| 2017年5月12日 | www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com 5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec |
悪用あり |
| 2017年5月14日 | www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com 32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf |
悪用あり |
| 2017年5月15日 | www[.]ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com b9318a66fa7f50f2f3ecaca02a96268ad2c63db7554ea3acbde43bf517328d06 |
悪用あり |
| 2017年5月15日 | www[.]iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com 7b7aa67a3d47cb39d46ed556b220a7a55e357d2a9759f0c1dcbacc72735aabb1 |
悪用未確認 |
| 2017年5月15日 | www[.]lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea[.]com 198a25e52018dce7b2f76c3b49948211761dd4f29fc43599077155e61b335234 |
悪用未確認 |
ランサムウェア「WannaCry」の挙動・特徴
ワームの挙動・特徴
- LAN上のWindowsマシンを走査し、CVE-2017-0145を用いて感染を試行する。
- インターネット上をランダムに走査し、CVE-2017-0145を用いて感染を試行する。
要求される身代金
- 3日以内に支払いがなければ要求金額は倍に、7日以内に支払いがなければデータファイルは削除されると脅迫。
- ユニークに識別する方法がなく、身代金を支払ったとしてもファイルが復元できないとの報告がある。
報告されている身代金振込先のBitcoinアドレス
| Bitcoinアドレス | 最終残高(5月16日13時時点) | 取引回数 |
|---|---|---|
| 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 | 13.78657998 BTC | 90件 |
| 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn | 9.44967018 BTC | 70件 |
| 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw | 12.71671641 BTC | 79件 |
| 合計 | 35.95296657 BTC (約739万円) |
239件 |
- 「1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY」は5月6日以降取引がなく、以前に使用されたBitcoinアドレスとみられるため割愛。
- トランザクションの状況を詳細にトレースをしている記事 https://misentropic.com/wannacry_graph.html
WannaCry暗号化対象の拡張子
.doc,.docx,.docb,.docm,.dot,.dotm,.dotx,.xls,.xlsx,.xlsm,.xlsb,.xlw,.xlt,.xlm,.xlc,.xltx,.xltm,.ppt,.pptx,.pptm,.pot,.pps,.ppsm,.ppsx,.ppam,.potx,.potm,.pst,.ost,.msg,
https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
.eml,.edb,.vsd,.vsdx,.txt,.csv,.rtf,.123,.wks,.wk1,.pdf,.dwg,.onetoc2,.snt,.hwp,.602,.sxi,.sti,.sldx,.sldm,.sldm,.vdi,.vmdk,.vmx,.gpg,.aes,.ARC,.PAQ,.bz2,.tbk,.bak,
.tar,.tgz,.gz,.7z,.rar,.zip,.backup,.iso,.vcd,.jpeg,.jpg,.bmp,.png,.gif,.raw,.cgm,.tif,.tiff,.nef,.psd,.ai,.svg,.djvu,.m4u,.m3u,.mid,.wma,.flv,.3g2,.mkv,.3gp,.mp4,
.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.mp3,.sh,.class,.jar,.java,.rb,.asp,.php,.jsp,.brd,.sch,.dch,.dip,.pl,.vb,.vbs,.ps1,.bat,.cmd,.js,.asm,.h,.pas,.cpp,
.c,.cs,.suo,.sln,.ldf,.mdf,.ibd,.myi,.myd,.frm,.odb,.dbf,.db,.mdb,.accdb,.sql,.sqlitedb,.sqlite3,.asc,.lay6,.lay,.mml,.sxm,.otg,.odg,.uop,.std,.sxd,.otp,.odp,.wb2,.slk,
.dif,.stc,.sxc,.ots,.ods,.3dm,.max,.3ds,.uot,.stw,.sxw,.ott,.odt,.pem,.p12,.csr,.crt,.key,.pfx,.der
確認されているWannaCryの通信先
| 通信先 | 報告者 |
| gx7ekbenv2riucmf.onion | Kaspersky |
| 57gspsprrzlojinas.onion | Kaspersky |
| Xxlvbrloxvriy2c5.onion | Kaspersky |
| 76jdd2ir2embyv47.onion | Kaspersky |
| cwwnhwhlz52maqm7.onion | Kaspersky |
| sqjolphimrr7jqw6.onion | Kaspersky |
| Rphjmrpwmfv6v2e.onion | McAfee |
確認されている通信先をまとめた記事
確認されているWannaCryの検体サンプル
WannaCryの各社の検体呼称
| ベンダ | 検出名 |
|---|---|
| Microsoft | Ransom: Win32/WannaCrypt |
| TrendMicro | RANSOM_WANA.A、RANSOM_WCRY.I |
| Kaspersky | Trojan-Ransom.Win32.Gen.djd Trojan-Ransom.Win32.Scatter.tr Trojan-Ransom.Win32.Wanna.b Trojan-Ransom.Win32.Wanna.c Trojan-Ransom.Win32.Wanna.d Trojan-Ransom.Win32 .Wanna.f Trojan-Ransom.Win32.Zapchast.i PDM:Trojan.Win32.Generic |
| Symantec | Ransom.Wannacry Ransom.CryptXXX Trojan.Gen.8!Cloud Trojan.Gen.2 |
| Fortinet | W32/Filecoder_WannaCryptor.B!tr W32/WannaCryptor.B!tr W32/Generic.AC.3EE509!tr W32/GenKryptik.1C25!tr |
| F-Secure | Trojan.Ransom.WannaCryptor.A Trojan.Ransom.WannaCryptor.H |
| Sophos | Troj/Ransom-EMG |
その他にも次の名称が用いられている。
- Wanna Decryptor
- WanaCrypt0r 2.0
- WanaCrypt
- WCry
感染原因
- 正確な初期感染の経路は確認されていない模様。確定している感染経路はインターネット上にSMBのサービスが公開されているマシンに対して、Exploitが直接使用されるケース。(FOX IT)
- 4月14日にShadow Brokersが公開したExploitツール「ETERNALBLUE」に関連する。
対策
(1) DoublePulsarの感染状況を確認する。
- SMBやRDPのポートがインターネット上に公開されていないか確認する。
- 公開されていた場合はDoublePulsarの感染確認をする。
自身でのチェックツール
- NMAP File smb-double-pulsar-backdoor
- Metasploit MS17-010 SMB RCE Detection
- https://github.com/countercept/doublepulsar-detection-script
オンラインのチェックサービス
- https://doublepulsar.below0day.com/
- 検出が出来ないケースが確認されている。
- スキャンした結果がどのように扱われるかが不明のため、可能であれば自前でのチェックを推奨。
@tamosan @piyokango なお、Metasploit のスキャナー https://t.co/KOWHbuIQab は MS17-010 が当たっている場合、それ以前に DoublePulsar に感染していたとしても検出されないようです https://t.co/PX9AVftPjS
— Neutral8✗9eR (@0x009AD6_810) 2017年5月14日
(2) セキュリティ更新プログラム「MS17-010」を適用する
- 2017年3月14日に公開されたセキュリティ更新プログラムを適用する。
MS17-010 Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389) - サポートがすでに終了している次のOSの場合は、緊急で公開されたパッチを適用する。
[WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS)
| OS | 更新プログラム |
|---|---|
| Windows XP Windows Server 2003 Windows 8 |
緊急更新プログラム (KB4012598) |
| Windows Vista Windows Server 2008 |
MS17-010 (KB4012598) |
| Windows 7 Windows Server 2008 R2 |
MS17-010 (KB4012212:セキュリティのみ) (KB4012215:月例ロールアップ) |
| Windows 8.1 | MS17-010 (KB412213:セキュリティのみ) (KB4012216:月例ロールアップ) |
| Windows Server 2012 | MS17-010 (KB40122141:セキュリティのみ) (KB4012217:月例ロールアップ) |
| Windows Server 2012 R2 | MS17-010 (KB4012213:セキュリティのみ) (KB4012216:月例ロールアップ) |
| Windows RT 8.1 | MS17-010 (KB4012216:月例ロールアップ) |
| Windows 10 | MS17-010 (KB4012606) (KB4013198) for ver1511 (KB4013429) for ver 1607 |
| Windows Server 2016 | MS17-010 (KB4013429) |
| Server Core インストールオプション | MS17-010 詳細省略 |
回避策
Microsoft等から回避策として次の方法が紹介されている。
対応するSnortルール
- 42329-42332、42340、4197
WannaCryの復号ツール
WannaCryにより暗号化されたファイルを元に戻すことが環境によっては可能であることが判明し、復号ツールがリサーチャーやベンダより公開されている。
| 復号ツール | 復号成功が確認、あるいは動作テストされたOS |
|---|---|
| wanakiwi | WindowsXP、Windows 2003、Windows 7(いずれも32bit版) |
| Trend Micro Ransomware File Decryptor | Windows XP (32bit版) |
| wanafork | 記載確認できず |
| wannakey | Windows XP、Windows 7 x86、Windows 2003、Windows Vista、Windows Server 2008 |
復号に成功するには次の環境が必要とされる。
- 感染したOSを再起動しておらず、マルウェアのプロセスが残ったままであること。
- 感染後に出来る限り早く復号ツールを用いていること。
WannaCry開発者が北朝鮮関連説
- GoogleのリサーチャーがTwitterへ行った投稿が発端とみられる。
- Kaspersky、Symantec、BAE Systemsが北朝鮮関与についてWannaCryと何らかの関連がみられると発表。Symantecは5月23日にさらに追加の調査結果を発表。
- 調査結果では過去に確認された初期版のWannaCryと北朝鮮が関与しているとみられるグループ「Lazarus」のキャンペーンで使用されたマルウェアや実装コードの一部に類似性があるとされる。
セキュリティ関連組織のレポート
- ARBOR Networks WannaCry
- Avast Ransomware that infected Telefonica and NHS hospitals is spreading aggressively, with over 50,000 attacks so far, today
- Avast WannaCry update: The worst ransomware outbreak in history
- BAE Systems WANACRYPT0R RANSOMWORM
- Cisco Player 3 Has Entered the Game: Say Hello to 'WannaCry'
- Cisco The Hours of WannaCry
- Emisoft Global WannaCry ransomware outbreak uses known NSA exploits
- ESET Huge ransomware outbreak disrupts IT systems worldwide, WannaCryptor to blame
- FLAHSPOINT Linguistic Analysis of WannaCry Ransomware Messages Suggests Chinese-Speaking Authors
- Fortinet Protecting Your Organization from the WCry Ransomware
- Fortinet WannaCry: Evolving History from Beta to 2.0
- Foursys UPDATE: Today’s ransomware outbreak
- FOX IT Massive outbreak of ransomware variant infects large amounts of computers around the world
- F-Secure What You Need to Know About WannaCry Now
- Kaspersky WannaCry ransomware used in widespread attacks all over the world
- Kaspersky WannaCry FAQ: What you need to know today
- Kaspersky WannaCry and Lazarus Group – the missing link?
- macnica networks マルウェア解析奮闘記 WannaCryの解析
- Malwarebytes Labs The worm that spreads WanaCrypt0r
- Malwarebeyte Labs WanaCrypt0r ransomware hits it big just before the weekend
- MBSD 「WannaCry 2.0」の内部構造を紐解
- McAfee An Analysis of the WANNACRY Ransomware outbreak An Analysis of the WANNACRY Ransomware outbreak
- Microsoft WannaCrypt ransomware worm targets out-of-date systems
- Paloalto Networks UPDATED: Palo Alto Networks Protections Against WanaCrypt0r Ransomware Attacks
- PaloAlto Networks Threat Brief: WanaCrypt0r– What We Know
- TrendMicro 大規模な暗号化型ランサムウェア「WannaCry/Wcry」の攻撃、世界各国で影響
- TrendMicro 週明け国内でも要注意−暗号化型ランサムウェア「WannaCry/Wcry」
- TrendMicro ランサムウェア「WannaCry/Wcry」による国内への攻撃を 16,436件確認
- TrendMicro ランサムウェア「WannaCry/Wcry」のワーム活動を解析:侵入/拡散手法に迫る
- Trustwave WannaCry: We Want to Cry
- Rapid 7 WannaCry Update: Vulnerable SMB Shares Are Widely Deployed And People Are Scanning For Them
- SecureWorks WCry Ransomware Analysis
- Symantec What you need to know about the WannaCry Ransomware
その他関連記事等
- How to Accidentally Stop a Global Cyber Attacks
- Proud Moment: WannaCry Collaboration
- WannaCry|WannaDecrypt0r NSA-Cybereweapon-Powered Ransomware Worm
- WannaCry — The largest ransom-ware infection in History
- WanaCrypt0rランサムウェア身代金ウイルス .wncry拡張子ファイル変更
- IPA会見の文字起こし(WannaCry) - Togetterまとめ
- WCry/WanaCry Ransomware Technical Analysis | Endgame
- 山市良のえぬなんとかわーるど: 今どきのWindows Server 2003 R2 の新規インストール(更新エラーと認証エラーの解決)
- 【現在拡散中の #ランサムウェア ( #WannaCrypt )への対応方法】
- WannaCry cyber attack
- 攻撃ツール「Eternalblue」を悪用した攻撃と考えられるアクセスの観測について
更新履歴
- 2017年5月14日 AM 新規作成
- 2017年5月14日 AM 対策(1)欄追記。(@0x009AD6_810さんありがとうございます) その他報告ツイートを訂正。
- 2017年5月14日 PM 主要紙の朝刊記事を反映。
- 2017年5月15日 AM 感染被害件数メディア掲載件数を削除。
- 2017年5月15日 AM タイトル等ランサムウェアの名称を修正。(「2.0」を削除)
- 2017年5月15日 AM 回避策欄追記。(@tamosanさんありがとうございます)
- 2017年5月15日 AM タイムラインのキャンペーン開始日時、誤字を修正。国内被害事例を追記。
- 2017年5月15日 PM 国内感染事案等を中心に続報追記。
- 2017年5月15日 PM 国内感染事案等を更新。国外の事例の誤り(インドと表記していた箇所)を修正。
- 2017年5月15日 PM 国内感染事案等を更新。
- 2017年5月16日 PM 国内感染事案等を更新。冗長となっている記載を削除。サンプルはPastebinに転記。国外事例を表形式に変更。Bitcionの取引記録更新。
- 2017年5月17日 AM 国内感染事案等を更新。回避策のリンクを変更。(@Rutice_jpさんありがとうございます)
- 2017年5月17日 PM キルスイッチ欄を更新。北朝鮮関与説を追記。
- 2017年5月18日 AM 国内感染事案を更新。キルスイッチ欄を修正。
- 2017年5月18日 PM 国内感染事案を更新。
- 2017年5月20日 AM 国内感染事案を更新。
- 2017年5月24日 AM 国外感染事案を修正。(NHS内のマシンの9割⇒病院の9割に少なくとも1台のXPのマシンが存在)、北朝鮮関与説を更新、復号ツールを追記。
*1:政府がサイバー攻撃受け情報連絡室設置,共同通信,2017年5月15日アクセス
*2:官房長官 サイバー攻撃「懸念ない」,FNN,2017年5月15日アクセス
*3:ランサムウエアに新バージョン、被害は阻止=セキュリティ会社,Reuters,2017年5月16日アクセス
*4:菅義偉官房長官「全体を掌握し対応している」 北関与の可能性,産経ニュース,2017年5月17日アクセス
*5:「サイバーセキュリティ最悪の日になり得た」WannaCryが悪用する脆弱性情報の流出,InternetWatch,2017年5月19日アクセス1
*6:サイバー攻撃、150カ国で20万件以上被害 欧州警察機関,日本経済新聞,2017年5月15日アクセス
*7:米高官 サイバー攻撃の被害は約150か国で30万件以上,NHK,2017年5月16日アクセス
*8:日本でもサイバー攻撃確認 世界の被害最大規模か,共同通信,2017年5月14日アクセス
*9:身代金ウイルス 週明け警戒 国内感染2件、拡大の恐れ,毎日新聞,2017年5月15日アクセス
*10:米当局ソフト悪用か,日本経済新聞,2017年5月14日朝刊
*11:日立やJR東も感染被害=官民で警戒続く−サイバー攻撃,時事通信,2017年5月15日アクセス
*12:大規模サイバー攻撃、日本国内で確認されず ,日本経済新聞,2017年5月14日アクセス
*13:サイバー攻撃 国内での被害未確認 警察庁が情報収集,毎日新聞,2017年5月15日アクセス
*14:日本国内で被害2件確認=データ暗号化−世界規模サイバー攻撃で・警察庁,時事通信,2017年5月15日アクセス
*15:サイバー攻撃 新たに被害5件を確認 警察庁,NHK,2017年5月15日アクセス
*16:サイバー被害、新たに9件,朝日新聞,2017年5月18日朝刊
*17:サイバー攻撃、新たに5件の被害 警察庁、企業や個人に,西日本新聞,2017年5月18日アクセス
*18:警察庁把握は計25件に ランサムウエア被害,産経ニュース,2017年5月19日アクセス
*19:サイバー攻撃「就業前に対応を」 IPAが注意呼びかけ,日本経済新聞,2017年5月15日アクセス
*20:サイバー攻撃 夕方までに国内で16件の被害 経産省,NHK,2017年5月15日アクセス
*21:サイバー攻撃 日立のシステム障害 海外グループ企業でも,毎日新聞,2017年5月15日アクセス
*22:ランサムウェア「WannaCry」の感染被害と考えられる通信を検知しました,LAC,2017年5月15日アクセス
*23:大規模サイバー攻撃、国内でも被害2件確認 警察庁,日本経済新聞,2017年5月15日アクセス
*24:サイバー被害150ヵ国に 身代金ウイルス 20万件,朝日新聞,2017年5月15日朝刊
*25:交通や医療に注意喚起 世界的サイバー攻撃 政府、警戒強める,読売新聞,2017年5月15日夕刊
*26:JR東、支社のパソコンが「ランサムウエア」感染=「鉄道運行に影響なし」,時事通信,2017年5月15日アクセス
*27:国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染,ITpro,2017年5月15日アクセス
*28:川崎市やJRでサイバー攻撃被害,NHK,2017年5月15日アクセス
*29:「ランサムウエア」感染か、近鉄エクスプレスも被害,TBS NEWS,2017年5月20日アクセス
*30:サイバー被害、滋賀で新たに1件 自営業男性のパソコン,朝日新聞,2017年5月17日アクセス
*31:サイバー攻撃 ランサムウエア、甲賀の男性被害 県内2件目 /滋賀,毎日新聞,2017年5月18日アクセス
*32:身代金ウイルス 愛知のコンビニで1台感染,毎日新聞,2017年5月20日アクセス
*33:サイバー攻撃 愛知でも被害確認,NHK,2017年5月20日アクセス
*34:国内600カ所・2000端末感染か 日立ではシステム障害,産経ニュース,2017年5月15日アクセス
*35:日立製作所 サイバー攻撃で社内システム一部に障害,NHK,2017年5月15日アクセス
*36:日立製作所もサイバー攻撃 世界で起きたものと同じウイルス,産経ニュース,2017年5月15日アクセス
*37:サイバー攻撃 警戒強める 企業など 日立でシステム障害,日本経済新聞,2017年5月15日夕刊
*38:国内端末2000台感染か 世界的サイバー攻撃日立も被害,読売新聞,2017年5月15日夕刊
*39:サイバー被害の日立 受注・発注システムにも障害,NHK,2017年5月16日アクセス
*40:日立の感染源は電子顕微鏡装置か ランサムウエア被害,共同通信,2017年7月4日アクセス
*41:富士・富士宮市消防も被害 世界規模サイバー攻撃,静岡新聞,2017年5月16日アクセス
*42:富士市 消防タブレット感染 システム仕様からの脆弱性が原因,Fuji-News.net,2017年5月19日アクセス
*43:サイバー攻撃日立関連病院も障害,NHK,2017年5月15日アクセス
*44:宇佐市の男性宅で「ランサムウェア被害」,OBS大分放送,2017年5月17日アクセス
*45:大規模サイバー攻撃、国内で2件の被害確認 警察庁,朝日新聞,2017年5月15日アクセス
*46:大規模サイバー攻撃 日本でも病院などで2件の被害,NHK,2017年5月15日アクセス
*47:サイバー攻撃 滋賀の女性が被害,NHK,2017年5月15日アクセス
*48:滋賀の81歳、サイバー攻撃被害 「ランサムウエア」感染,京都新聞,2017年5月15日アクセス
*49:サイバー攻撃、川崎市上下水道局でも 庁内ネットには非接続 ,日本経済新聞,2017年5月15日アクセス
*50:WannaCryにWindows 7機が感染、川崎市上下水道局,日経コンピュータ,2017年5月17日アクセス
*51:市川市のPCがウイルスに感染,NHK,2017年5月20日アクセス
*52:群馬でも企業1社で被害を確認,産経ニュース,2017年5月16日アクセス
*53:サイバー攻撃 東急電鉄でもウイルス感染,NHK,2017年5月16日アクセス
*54:大規模サイバー攻撃、国内被害21件確認 警察庁,日本経済新聞,2017年5月18日アクセス
*55:埼玉県内でも1件 県警が捜査,産経ニュース,2017年5月18日アクセス
*56:サイバー攻撃 国内被害新たに5件、佐久市の男性も,信濃毎日新聞,2017年5月18日アクセス
*57:ウィンドウズ弱点狙う 日産の英工場被害,2017年5月14日朝刊
*58:複数の英病院にランサムウエア攻撃、被害は世界に,CNN,2017年5月14日アクセス
*59:イギリス各地で国営の病院にサイバー攻撃,NHK,2017年5月14日アクセス
*60:サイバー攻撃 ランサム被害、150カ国で20万件以上,毎日新聞,2017年5月15日アクセス
*61:英病院にサイバー攻撃 病院業務に支障,産経ニュース,2017年5月14日アクセス
*62:英の日産自動車工場も被害 サイバー攻撃、生産に影響,共同通信,2017年5月13日アクセス
*63:大規模サイバー攻撃、日系企業にも影響 日産英国工場,日本経済新聞,2017年5月14日アクセス
*64:サイバー攻撃、国内2千台が感染 民間団体が分析,朝日新聞,2017年5月15日アクセス
*65:世界各国で大規模サイバー攻撃 病院や大手企業が被害,AFP通信,2017年5月14日アクセス
*66:仏自動車大手ルノーも世界的なサイバー攻撃の被害に,AFP通信,2017年5月14日アクセス
*67:世界大規模サイバー攻撃、中国でも被害が広がる,大紀元,2017年5月15日アクセス
*68:身代金要求ウイルス 韓国シネコン大手が感染,聯合ニュース,2017年5月15日アクセス
*69:身代金ウイルス 露で1000台感染 各国の被害状況は,毎日新聞,2017年5月17日アクセス
*70:各国襲ったサイバー攻撃 伯国の公的機関でも予防措置,サンパウロ新聞,2017年5月17日アクセス
*71:世界的サイバー攻撃 国内感染週明け続々,読売新聞,2017年5月16日朝刊
*72:サイバー攻撃、アジア各国に危機感,日本経済新聞,2017年5月17日アクセス
*73:大規模サイバー攻撃 韓国での被害 18件,KBS World Radio,2017年5月20日アクセス
*74:The Latest: Cyberattack hits schools, hospital in Taiwan,The Washington Post,2017年5月16日アクセス
*75:ランサムウェア攻撃 匿名の研究者が拡大を「偶然」阻止,CNN,2017年5月15日アクセス
*76:解析元によって数字にブレがあり、例えばTrendMicroは176種類としている。
