piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた

2017年5月12日頃から、世界各地でランサムウェアに感染する被害が相次いで報告されています。ランサムウェアはWannaCry等と名前が付けられているもので、これに感染する原因として、Windows脆弱性、及びその脆弱性を用いたNSAが開発したツールが関係している可能性があると各国のCSIRTやセキュリティベンダが注意喚起等を公開しています。Microsoftは今回の感染事案を受け、WindowsXPなどのサポートが切れたOSを対象とした緊急の更新プログラムも公開しました。
ここではこの世界中で発生したランサムウェア WannaCry の感染被害などについてまとめます。

インシデントタイムライン

以下は主に国内の関連事象を整理したもの。

日時 出来事
2016年9月16日 MicrosoftSMBv1の使用停止を強く推奨する記事を公開。
2017年1月16日 US-CERTがSMBv1の無効化を含むSMBのセキュリティにおけるベストプラクティスを公開。
2017年3月14日 Microsoftセキュリティ情報 MS17-010を公開。
2017年4月14日 Shadow BrokersがETERNALBLUEなどを含む様々なExploitを公開。
同日 MicrosoftShadow Brokersが公開したExploitはいずれも修正済みだと報告。
2017年4月25日 DropboxのURLを悪用したWannaCryが確認されているとしてTrendMicroが情報を公開
2017年5月12日夜〜13日未明 WannaCryの感染キャンペーンが開始された模様。
同日 MS17-010で修正された脆弱性を通じてWannaCryが世界規模で拡散されていると多数の報道。
同日 MicrosoftRansomwareによる攻撃への声明を公開。サポート終了済のOSにも緊急パッチを公開。
2017年5月14日 IPAが記者会見を開き、WannaCryに対し、週明けの就業前に対応をとるように注意喚起。
2017年5月15日 日本政府が首相官邸危機管理センターに情報連絡室を設置。*1
同日 官房長官記者会見において、当該事案に対しての「懸念はない」と官房長官がコメント。*2
2017年5月15日 20時頃 別のキルスイッチを利用するWannaCryが確認される。*3
2017年5月16日 官房長官記者会見にて、北朝鮮関与との報道に対し、全体を掌握する中で対応しているとコメント。*4
2017年5月23日 Symantec北朝鮮関与の可能性が高いと発表。

感染被害件数

報告元 被害国 被害件数
Avast 57か国
⇒99か国
⇒104か国
⇒112ヵ国
⇒116ヵ国
5万7000件(初報)
⇒7万5000件(5/12 12:15PT)
⇒12万6000件以上(5/13 6:10CET)
⇒21万3000件以上(5/15 4:23 CET)
⇒25万件以上(5/16)
Kaspersky 74か国 4万5000件以上
⇒33万8765台以上(5/17) *5
FOX IT 17万以上
EUROPOL*6 少なくとも150か国 20万件以上
ホワイトハウス
(大統領補佐官発言) *7
約150ヵ国 30万件以上

日本国内の被害の状況

報告元 把握状況
セキュリティベンダ 日本での被害はTrendMicro、Kasperskyの2社がセキュリティ対策ソフトで検知した件数の集計を通じて攻撃の発生を確認している。
実際に感染被害が出ているかどうかは不明。*812日朝から24時間以内に数百件検出している。*9
Kasperskyによれば全体の検出数の6%が日本国内で確認されたもの。この状況は英国と同水準。*10
TrendMicroによれば、12日から15日までのランサムウェアに関する問い合わせは175件。そのうち実際に感染が確認されたのは9件。*11
また、7日9時から15日9時までに1万6436件の攻撃を遮断したと報告。
警察庁 [PDF] 世界的規模のランサムウェア感染事案の発生について
都道府県警を通じて情報収集を行っている。5月13日午後時点で日本政府や企業などでの被害は確認されていない。*12 *13
14日に警察庁の調べで2件の被害が確認された。当局が捜査を開始。*14
15日17時時点で5件追加(合計7件) *15さらに17日に9件*16。18日に5件*17。19日に4件*18を追加で把握。
NISC Twitterを通じて、5月13日21時時点で国内での大きな被害報告が入っていないことを明らかにした。
IPA
経済産業省
5月14日時点で感染事例を把握していないことを明らかにしている。*19
15日夕までに相談が51件寄せられ、この内16件で感染が確認されたと発表。感染したのは個人が多くを占める。*20
JPCERT/CC 13日から14日にかけ、約600か所、約2000の端末で感染を確認したと報じられる。*21
LAC 自社セキュリティ監視サービスにおいて、複数の顧客でWannaCryに感染したとみられる通信を検出。*22
関連が疑われる事例

日本国内で被害が確認された等と報じられている事例は次の通り。 *23 *24 *25

対象 発生・把握日 発生事象
JR東日本 高崎支社 5月12日頃 関東地方支社でインターネット閲覧に使用しているPC1台が感染。
PCは社内イントラネットには接続されておらず、運行等業務への影響はない。*26
インターネット閲覧中に感染を示す画像が表示された。メール機能はこの端末には存在しない。*27
15日に警察へ被害の相談。*28
近鉄エクスプレス 5月12日以降 東京都内事業所にある37台の端末が感染。感染した端末は社内ネットワークには接続されていなかった。*29
滋賀県内の個人(50代男性) 5月12日夕 自営業男性の端末1台が感染。600ドルを要求する画面が表示されていた。
インターネット閲覧中に感染を示す画像が表示。
15日に報道で被害に気づき、翌日に交番に相談。
滋賀県内で把握された2例目。*30
滋賀県内の個人(50代男性) 5月12日16時頃 オークションサイト利用後席を外し、30分後に戻ったところ感染を示す画像が表示されていた。
ウイルス対策ソフトは更新していなかった。
16日に甲賀署署員に相談。
OSはWindows 7*31
愛知県内のコンビニ 5月12日 防犯カメラの管理端末1台が感染。インターネットには接続されていたがメールやウェブサイトの閲覧は行っていなかった。*32カメラの映像が漏えいする被害などは確認されていない。*33
日立金属 12日夜 メールの送受信や添付ファイルが開けなくなるなどの障害が発生。*34
日立製作所 5月12日深夜 ランサムウェアによる被害および復旧状況について
メール管理システムの一部で障害発生を確認。メールの送受信や添付ファイルの開封が出来ない事態。
海外のグループ会社でも12日から同様の障害が確認されている。*35
その後感染が多発しているランサムウェアと同じであることが確認された。*36
サーバーを切り離す等して一部は復旧している。*37また一部は電話やFAXの利用に業務を切り替えている。*38
家電量販店等と取引をする受発注システムにも影響が及び障害が発生。*39
ドイツのグループ会社事業所にある電子顕微鏡の操作装置からネットワークを通じて世界中の事業所に拡散した可能性がある。*40
富士・富士宮市消防指令センター 5月12日 指揮車3台に配備されていたタブレットの内、1台が感染。
火災・救急等の現場から動画をリアルタイムに送信するための専用機。
作業には支障がなかったことからそのまま継続して使用していた。
報道等を受けて15日に署員が報告。*41
ウイルス対策ソフト、OSの更新は動作不安定となることから実施しない設計となっていた。*42
墨田区の樹脂メーカー 13日昼 出社した際にマシンがブルースクリーンとなっていた。再起動後にランサムウェア感染を示す画面が表示。夕方にはもう1台別の端末でも同じ症状が発生。
OSはWindowsXPで、使用ソフトによる制限で利用していた。
東大阪の会社事務所 13日夜 防犯カメラの映像が映らなくなった。管理PC上に感染を示す画面が表示された。
日立総合病院 13日 警察が実施した病院等の重要施設への被害聞き取り調査により発覚。業務影響は出ていない。
13日からメールの送受信が出来ず、またファイルも添付できない事象発生。*43
大分県内の個人(70代男性) 5月14日 自宅の端末が感染。本人から感染の届け出があり発覚。*44
香川県内の個人(20代女性) 5月14日午前中 本人から感染の届け出があり発覚。支払い画面が突然現れた。ファイルの一部が開けず。*45
OSはWindows 7*46
滋賀県の個人(81歳女性) 5月14日午後2時頃 自宅PCを使ってインターネット検索中に感染を示す画像が表示された。15日に警察へ相談。*47
OSはWindows 7*48
川崎市上下水道 5月15日8時頃 上下水道局におけるランサムウェアの感染について
国際事業担当部署の庁内ネットワークからは切り離されたインターネット専用端末1台で発生。
担当職員が起動させたところ感染を確認した。週末は電源をオフにしていた。*49
感染した端末を交換し、業務影響無し。
大容量データの送受信や海外の取引先との連絡に使用していた。
OSはWindows 7*50
後日警察へ被害を申告。
市川市排水機場 5月15日15時頃 職員が起動させたところ河川・下水道監理課の端末1台が感染していたことを把握。
端末はインターネットに接続され、気象情報を確認するために使用されていた。
役所内のネットワークには接続しておらず、業務への影響は無し。*51
群馬県内の企業 5月15日 自組織にて対処が行われた模様。*52
東急電鉄 15日 渋谷区本社の端末1台が感染。
当該端末は社内イントラネットに接続されておらず、運行システムへの影響なし。*53
財務担当の職員が企業情報を閲覧するために起動させたところ感染を示す画面が表示された。
警察庁が被害申告を受け把握した事例
  • 2017年5月18日17時時点で25件を把握。*54
区分 件数 対象
行政 1件 川崎市
病院 1件 日立総合病院
企業 5件 大阪府1社、兵庫県1社、東京都2社、群馬県1社
個人 18件 東京都70代男性/50代男性/50代男性、埼玉県41歳男性*55/70代男性、千葉県40代男性/20代女性、岡山県40代女性、福岡県20代男性、
大阪府20代男性/20代男性/20代女性、長野県30代男性*56滋賀県60代男性/81歳女性/50代男性、大分県70代男性、香川県20代女性

国外の感染被害の具体的事例

発生国 被害組織 発生事象
英国 NHS(国民保健サービス) Statement on reported NHS cyber attack
UPDATED Statement on reported NHS cyber-attack (13 May)
ランサムウェアに感染し当該サービスを提供する248団体の内、48団体で端末利用が出来なくなる障害が発生。
14日午前0時時点で6団体がまだ復旧できていない。*57
内務省によればその後影響を受けた病院の内、97%が通常業務に復旧している。
英国内相は攻撃は無作為であり、NHSが直接の標的として狙われたものではないとコメント。英国保健当局は今回のこの事態を重大な事件として警告。
NHSに登録された患者情報がアクセスされたとの情報は確認されていない。*58
NHSより提供されていたシステムが一部地域で停止する事態となった。これにより次のような影響が生じた。
(1)システムがロックアウトされ、患者のファイルなどを確認することが出来なくなった。手書きによる事務に切り替えた。
(2)複数の医療機関で診療が行えなかった。
(3)レントゲン撮影を行うことが出来なくなった。
(4)予定されていた心臓手術が中止となった。
(5)救急搬送された患者を受け入れられず救急車の行先変更が必要となった。(6)急患以外は受診に来ないよう呼びかけが行われた。*59
英国では合計62の病院が影響を受けた。*60またスコットランドウェールズ等の病院には影響は及ばなかった模様。名前が挙がっている場所は次の通り。*61
NHS Glasgow、NHS Lanarkshire、NHS Dumfries and Galloway、NHS Forth Valley、NHS Tayside、NHS Western Isles、NHS Borders、NHS Fife、NHS Ayrshire and Arran、NHS Grampian、NHS Highland
病院の9割では少なくとも1台以上のWindows XPが使い続けられていたが、これは直ぐに更新することが難しいMRIなどであり、全体としては4.7%が残っていることがNHSより発表された。
英国 日産サンダーランド自動車工場 13日頃より工場内で障害が発生し、自動車生産が一時的に止まるなどして影響が生じた。*62
日産広報担当者はこの事案によるビジネス上の影響はないと説明。
日産は他国の工場にも同様の被害がないか調査を進めている。
同工場ではキャシュカイ、リーフ等年間約50万台の車を生産している英国最大の拠点。*63 従業員数は約7000人。
週末は操業をしていなかったことから影響は小さく、15日より通常生産へ復旧した。*64
ロシア 内務省 内務省内のPC約1000台が攻撃を受けた模様。同省で使用されるマシン数全体の約1%未満。
非常事態省、保険証などでも被害が確認されている。
ロシア MegaFon コールセンター業務に支障が生じた。*65
スペイン テレフォニカ Incidencia ciberseguridad
テレフォニカのマシン85%に影響が及んだ。
発生当時、拡声器を使って従業員に即時停止を呼びかけした。
フランス ルノー スロベニアのノボメストの子会社 Revoz本社のマシンが影響を受けた。
部品の組み付けなどの生産に支障が及ぶことから12日夜に生産ラインの稼働を停止。13日も停止したままの状態となった。*66
ドイツ ドイツ鉄道 フランクフルトの駅などで 列車の発着時刻を表示する電光掲示板で障害が発生した。
列車の運行には直接的な影響は生じていない。
中国 国営中国石油天然気集団公司 直営のガソリンスタント約2万店で電子決済が利用できなくなる障害が発生。現金支払いにて対応。*67
韓国 CJ CGV 15日早朝、一部の映画館の広告サーバー、ロビーに設置されたディスプレイ用サーバーが感染。*68
詳細状況は調査中だが映画の上映は支障なく行われている。
インドネシア ダルマイス病院 国内最大規模のがん専門病院で13日に受付システムで障害発生。
手作業にて暫定対応したが、15日午前は数百人の患者が長時間待機する事態となった。*69
ブラジル 国立社会保険 システムの一部で障害発生。年金の受け取り手続きが不可となった。*70
その他影響を受けたとして名前が挙げられていた被害組織
被害が確認されたと報じられた組織
アメリ FedEx
ロシア ロシア中央銀行、ロシア鉄道
中国 北京大学上海交通大学山東大学、南昌大学、大連海事大学、桂林航天工業学院、中国石油天然気、中国公安省、孫逸仙大学
政府機関、病院、大学などの約2万9000団体のマシンが感染したと新華社通信が報じた。*71
インド アンドラプラデシュ州警察、マハラシュトラ州警察等約100か所で被害。
約6割の国内銀行が対策未実施のためATMの一時停止をインド準備銀行が要請。
インドネシア 首都ジャカルタにあるダルマイス病院等2つの病院で発券システムで障害発生。*72
スペイン Vodafone Espana、KPMG consultancy、BBVA銀行、santander銀行、Iberdrola
ポルトガル Portugal Telecom
ルーマニア ダチア
ブラジル サンパウロ州司法裁判所、携帯電話会社Vivo、航空会社LATAM
コロンビア 臓器移植データベースシステム
アルゼンチン 国内の通信企業
タイ バンコク市内2か所の電光掲示板で障害発生。
シンガポール 商業施設数か所の電光掲示板で障害発生。
韓国 13日から18日にかけ国内企業18社が被害届を提出。*73
台湾 10の学校、国営電力会社、病院、少なくとも1件の台中中心部の民間企業での感染が確認されている。*74
他名前が出ていた国 イタリア、トルコ、メキシコ、ウクライナ、ベルギー、ベトナム、オーストラリア

感染するランサムウェア「WannaCry」の詳細

感染対象のマシン
  • MS17-010で公開された更新プログラム未適用のWindows 7Windows Server 2008、またはそれ以前のOSを対象に感染する。設計上、Windows 10はこの攻撃の影響を受けない。(Microsoft)
ドロッパーの挙動・特徴
キルスイッチのサイト
発見日 キルスイッチ接続先/検体サンプル 悪用の有無
2017年5月12日 www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec
悪用あり
2017年5月14日 www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
悪用あり
2017年5月15日 www[.]ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com
b9318a66fa7f50f2f3ecaca02a96268ad2c63db7554ea3acbde43bf517328d06
悪用あり
2017年5月15日 www[.]iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
7b7aa67a3d47cb39d46ed556b220a7a55e357d2a9759f0c1dcbacc72735aabb1
悪用未確認
2017年5月15日 www[.]lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea[.]com
198a25e52018dce7b2f76c3b49948211761dd4f29fc43599077155e61b335234
悪用未確認
ランサムウェア「WannaCry」の挙動・特徴
  • 179種類の拡張子を対象に暗号化を行う。*76
  • 暗号化したファイルには「.WNCRY」という文字列をファイル名の末尾に追加する。
  • 暗号化処理が完了すると、ボリュームシャドーコピーの削除を行う。この時UACによる確認が行われる場合がある。
  • デスクトップの背景画像を暗号化したことを示すメッセージを含めたものに変更する。
  • 身代金要求の詳細と期限を示すタイマーを表示する。
ワームの挙動・特徴
  • LAN上のWindowsマシンを走査し、CVE-2017-0145を用いて感染を試行する。
  • インターネット上をランダムに走査し、CVE-2017-0145を用いて感染を試行する。
要求される身代金
報告されている身代金振込先のBitcoinアドレス
Bitcoinアドレス 最終残高(5月16日13時時点) 取引回数
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 13.78657998 BTC 90件
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn 9.44967018 BTC 70件
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw 12.71671641 BTC 79件
合計 35.95296657 BTC
(約739万円)
239件
WannaCry暗号化対象の拡張子

.doc,.docx,.docb,.docm,.dot,.dotm,.dotx,.xls,.xlsx,.xlsm,.xlsb,.xlw,.xlt,.xlm,.xlc,.xltx,.xltm,.ppt,.pptx,.pptm,.pot,.pps,.ppsm,.ppsx,.ppam,.potx,.potm,.pst,.ost,.msg,
.eml,.edb,.vsd,.vsdx,.txt,.csv,.rtf,.123,.wks,.wk1,.pdf,.dwg,.onetoc2,.snt,.hwp,.602,.sxi,.sti,.sldx,.sldm,.sldm,.vdi,.vmdk,.vmx,.gpg,.aes,.ARC,.PAQ,.bz2,.tbk,.bak,
.tar,.tgz,.gz,.7z,.rar,.zip,.backup,.iso,.vcd,.jpeg,.jpg,.bmp,.png,.gif,.raw,.cgm,.tif,.tiff,.nef,.psd,.ai,.svg,.djvu,.m4u,.m3u,.mid,.wma,.flv,.3g2,.mkv,.3gp,.mp4,
.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.mp3,.sh,.class,.jar,.java,.rb,.asp,.php,.jsp,.brd,.sch,.dch,.dip,.pl,.vb,.vbs,.ps1,.bat,.cmd,.js,.asm,.h,.pas,.cpp,
.c,.cs,.suo,.sln,.ldf,.mdf,.ibd,.myi,.myd,.frm,.odb,.dbf,.db,.mdb,.accdb,.sql,.sqlitedb,.sqlite3,.asc,.lay6,.lay,.mml,.sxm,.otg,.odg,.uop,.std,.sxd,.otp,.odp,.wb2,.slk,
.dif,.stc,.sxc,.ots,.ods,.3dm,.max,.3ds,.uot,.stw,.sxw,.ott,.odt,.pem,.p12,.csr,.crt,.key,.pfx,.der

https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
確認されているWannaCryの通信先
通信先 報告者
gx7ekbenv2riucmf.onion Kaspersky
57gspsprrzlojinas.onion Kaspersky
Xxlvbrloxvriy2c5.onion Kaspersky
76jdd2ir2embyv47.onion Kaspersky
cwwnhwhlz52maqm7.onion Kaspersky
sqjolphimrr7jqw6.onion Kaspersky
Rphjmrpwmfv6v2e.onion McAfee

確認されている通信先をまとめた記事

確認されているWannaCryの検体サンプル

https://pastebin.com/BdyXWfgv

WannaCryの各社の検体呼称
ベンダ 検出名
Microsoft Ransom: Win32/WannaCrypt
TrendMicro RANSOM_WANA.A、RANSOM_WCRY.I
Kaspersky Trojan-Ransom.Win32.Gen.djd
Trojan-Ransom.Win32.Scatter.tr
Trojan-Ransom.Win32.Wanna.b
Trojan-Ransom.Win32.Wanna.c
Trojan-Ransom.Win32.Wanna.d
Trojan-Ransom.Win32 .Wanna.f
Trojan-Ransom.Win32.Zapchast.i
PDM:Trojan.Win32.Generic
Symantec Ransom.Wannacry
Ransom.CryptXXX
Trojan.Gen.8!Cloud
Trojan.Gen.2
Fortinet W32/Filecoder_WannaCryptor.B!tr
W32/WannaCryptor.B!tr
W32/Generic.AC.3EE509!tr
W32/GenKryptik.1C25!tr
F-Secure Trojan.Ransom.WannaCryptor.A
Trojan.Ransom.WannaCryptor.H
Sophos Troj/Ransom-EMG

その他にも次の名称が用いられている。

  • Wanna Decryptor
  • WanaCrypt0r 2.0
  • WanaCrypt
  • WCry
過去確認されたWannaCryの事例対比
確認時期 要求金額 感染方法
2017年2月頃
Ver.0(Beta)
0.1 BTC 不明
2017年3月末頃
Ver.1
200米ドル⇒400米ドル メール、悪性サイトを通じて感染。Dropboxを悪用してファイルをダウンロード。
2017年5月頃
Ver.2
300米ドル⇒600米ドル MS17-010で修正された脆弱性、およびDoublePulsarを通じて感染。

感染原因

  • 正確な初期感染の経路は確認されていない模様。確定している感染経路はインターネット上にSMBのサービスが公開されているマシンに対して、Exploitが直接使用されるケース。(FOX IT)
  • 4月14日にShadow Brokersが公開したExploitツール「ETERNALBLUE」に関連する。

対策

(1) DoublePulsarの感染状況を確認する。
  • SMBやRDPのポートがインターネット上に公開されていないか確認する。
  • 公開されていた場合はDoublePulsarの感染確認をする。

自身でのチェックツール

オンラインのチェックサービス

  • https://doublepulsar.below0day.com/
  • 検出が出来ないケースが確認されている。
  • スキャンした結果がどのように扱われるかが不明のため、可能であれば自前でのチェックを推奨。

(2) セキュリティ更新プログラム「MS17-010」を適用する
OS 更新プログラム
Windows XP
Windows Server 2003
Windows 8
緊急更新プログラム (KB4012598)
Windows Vista
Windows Server 2008
MS17-010 (KB4012598)
Windows 7
Windows Server 2008 R2
MS17-010 (KB4012212:セキュリティのみ)
(KB4012215:月例ロールアップ)
Windows 8.1 MS17-010 (KB412213:セキュリティのみ)
(KB4012216:月例ロールアップ)
Windows Server 2012 MS17-010 (KB40122141:セキュリティのみ)
(KB4012217:月例ロールアップ)
Windows Server 2012 R2 MS17-010 (KB4012213:セキュリティのみ)
(KB4012216:月例ロールアップ)
Windows RT 8.1 MS17-010 (KB4012216:月例ロールアップ)
Windows 10 MS17-010 (KB4012606)
(KB4013198) for ver1511
(KB4013429) for ver 1607
Windows Server 2016 MS17-010 (KB4013429)
Server Core インストールオプション MS17-010 詳細省略
回避策

Microsoft等から回避策として次の方法が紹介されている。

対応するSnortルール
  • 42329-42332、42340、4197

WannaCryの復号ツール

WannaCryにより暗号化されたファイルを元に戻すことが環境によっては可能であることが判明し、復号ツールがリサーチャーやベンダより公開されている。

復号ツール 復号成功が確認、あるいは動作テストされたOS
wanakiwi WindowsXPWindows 2003、Windows 7(いずれも32bit版)
Trend Micro Ransomware File Decryptor Windows XP (32bit版)
wanafork 記載確認できず
wannakey Windows XPWindows 7 x86Windows 2003、Windows VistaWindows Server 2008

復号に成功するには次の環境が必要とされる。

  • 感染したOSを再起動しておらず、マルウェアのプロセスが残ったままであること。
  • 感染後に出来る限り早く復号ツールを用いていること。

WannaCry開発者が北朝鮮関連説

セキュリティ関連組織のレポート

更新履歴

  • 2017年5月14日 AM 新規作成
  • 2017年5月14日 AM 対策(1)欄追記。(@0x009AD6_810さんありがとうございます) その他報告ツイートを訂正。
  • 2017年5月14日 PM 主要紙の朝刊記事を反映。
  • 2017年5月15日 AM 感染被害件数メディア掲載件数を削除。
  • 2017年5月15日 AM タイトル等ランサムウェアの名称を修正。(「2.0」を削除)
  • 2017年5月15日 AM 回避策欄追記。(@tamosanさんありがとうございます)
  • 2017年5月15日 AM タイムラインのキャンペーン開始日時、誤字を修正。国内被害事例を追記。
  • 2017年5月15日 PM 国内感染事案等を中心に続報追記。
  • 2017年5月15日 PM 国内感染事案等を更新。国外の事例の誤り(インドと表記していた箇所)を修正。
  • 2017年5月15日 PM 国内感染事案等を更新。
  • 2017年5月16日 PM 国内感染事案等を更新。冗長となっている記載を削除。サンプルはPastebinに転記。国外事例を表形式に変更。Bitcionの取引記録更新。
  • 2017年5月17日 AM 国内感染事案等を更新。回避策のリンクを変更。(@Rutice_jpさんありがとうございます)
  • 2017年5月17日 PM キルスイッチ欄を更新。北朝鮮関与説を追記。
  • 2017年5月18日 AM 国内感染事案を更新。キルスイッチ欄を修正。
  • 2017年5月18日 PM 国内感染事案を更新。
  • 2017年5月20日 AM 国内感染事案を更新。
  • 2017年5月24日 AM 国外感染事案を修正。(NHS内のマシンの9割⇒病院の9割に少なくとも1台のXPのマシンが存在)、北朝鮮関与説を更新、復号ツールを追記。

*1:政府がサイバー攻撃受け情報連絡室設置,共同通信,2017年5月15日アクセス

*2:官房長官 サイバー攻撃「懸念ない」,FNN,2017年5月15日アクセス

*3:ランサムウエアに新バージョン、被害は阻止=セキュリティ会社,Reuters,2017年5月16日アクセス

*4:菅義偉官房長官「全体を掌握し対応している」 北関与の可能性,産経ニュース,2017年5月17日アクセス

*5:「サイバーセキュリティ最悪の日になり得た」WannaCryが悪用する脆弱性情報の流出,InternetWatch,2017年5月19日アクセス1

*6:サイバー攻撃、150カ国で20万件以上被害 欧州警察機関,日本経済新聞,2017年5月15日アクセス

*7:米高官 サイバー攻撃の被害は約150か国で30万件以上,NHK,2017年5月16日アクセス

*8:日本でもサイバー攻撃確認 世界の被害最大規模か,共同通信,2017年5月14日アクセス

*9:身代金ウイルス 週明け警戒 国内感染2件、拡大の恐れ,毎日新聞,2017年5月15日アクセス

*10:米当局ソフト悪用か,日本経済新聞,2017年5月14日朝刊

*11:日立やJR東も感染被害=官民で警戒続く−サイバー攻撃,時事通信,2017年5月15日アクセス

*12:大規模サイバー攻撃、日本国内で確認されず ,日本経済新聞,2017年5月14日アクセス

*13:サイバー攻撃 国内での被害未確認 警察庁が情報収集,毎日新聞,2017年5月15日アクセス

*14:日本国内で被害2件確認=データ暗号化−世界規模サイバー攻撃で・警察庁,時事通信,2017年5月15日アクセス

*15:サイバー攻撃 新たに被害5件を確認 警察庁,NHK,2017年5月15日アクセス

*16:サイバー被害、新たに9件,朝日新聞,2017年5月18日朝刊

*17:サイバー攻撃、新たに5件の被害 警察庁、企業や個人に,西日本新聞,2017年5月18日アクセス

*18:警察庁把握は計25件に ランサムウエア被害,産経ニュース,2017年5月19日アクセス

*19:サイバー攻撃「就業前に対応を」 IPAが注意呼びかけ,日本経済新聞,2017年5月15日アクセス

*20:サイバー攻撃 夕方までに国内で16件の被害 経産省,NHK,2017年5月15日アクセス

*21:サイバー攻撃 日立のシステム障害 海外グループ企業でも,毎日新聞,2017年5月15日アクセス

*22:ランサムウェア「WannaCry」の感染被害と考えられる通信を検知しました,LAC,2017年5月15日アクセス

*23:大規模サイバー攻撃、国内でも被害2件確認 警察庁,日本経済新聞,2017年5月15日アクセス

*24:サイバー被害150ヵ国に 身代金ウイルス 20万件,朝日新聞,2017年5月15日朝刊

*25:交通や医療に注意喚起 世界的サイバー攻撃 政府、警戒強める,読売新聞,2017年5月15日夕刊

*26:JR東、支社のパソコンが「ランサムウエア」感染=「鉄道運行に影響なし」,時事通信,2017年5月15日アクセス

*27:国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染,ITpro,2017年5月15日アクセス

*28:川崎市やJRでサイバー攻撃被害,NHK,2017年5月15日アクセス

*29:「ランサムウエア」感染か、近鉄エクスプレスも被害,TBS NEWS,2017年5月20日アクセス

*30:サイバー被害、滋賀で新たに1件 自営業男性のパソコン,朝日新聞,2017年5月17日アクセス

*31:サイバー攻撃 ランサムウエア、甲賀の男性被害 県内2件目 /滋賀,毎日新聞,2017年5月18日アクセス

*32:身代金ウイルス 愛知のコンビニで1台感染,毎日新聞,2017年5月20日アクセス

*33:サイバー攻撃 愛知でも被害確認,NHK,2017年5月20日アクセス

*34:国内600カ所・2000端末感染か 日立ではシステム障害,産経ニュース,2017年5月15日アクセス

*35:日立製作所 サイバー攻撃で社内システム一部に障害,NHK,2017年5月15日アクセス

*36:日立製作所もサイバー攻撃 世界で起きたものと同じウイルス,産経ニュース,2017年5月15日アクセス

*37:サイバー攻撃 警戒強める 企業など 日立でシステム障害,日本経済新聞,2017年5月15日夕刊

*38:国内端末2000台感染か 世界的サイバー攻撃日立も被害,読売新聞,2017年5月15日夕刊

*39:サイバー被害の日立 受注・発注システムにも障害,NHK,2017年5月16日アクセス

*40:日立の感染源は電子顕微鏡装置か ランサムウエア被害,共同通信,2017年7月4日アクセス

*41:富士・富士宮市消防も被害 世界規模サイバー攻撃,静岡新聞,2017年5月16日アクセス

*42:富士市 消防タブレット感染 システム仕様からの脆弱性が原因,Fuji-News.net,2017年5月19日アクセス

*43:サイバー攻撃日立関連病院も障害,NHK,2017年5月15日アクセス

*44:宇佐市の男性宅で「ランサムウェア被害」,OBS大分放送,2017年5月17日アクセス

*45:大規模サイバー攻撃、国内で2件の被害確認 警察庁,朝日新聞,2017年5月15日アクセス

*46:大規模サイバー攻撃 日本でも病院などで2件の被害,NHK,2017年5月15日アクセス

*47:サイバー攻撃 滋賀の女性が被害,NHK,2017年5月15日アクセス

*48:滋賀の81歳、サイバー攻撃被害 「ランサムウエア」感染,京都新聞,2017年5月15日アクセス

*49:サイバー攻撃、川崎市上下水道局でも 庁内ネットには非接続 ,日本経済新聞,2017年5月15日アクセス

*50:WannaCryにWindows 7機が感染、川崎市上下水道局,日経コンピュータ,2017年5月17日アクセス

*51:市川市のPCがウイルスに感染,NHK,2017年5月20日アクセス

*52:群馬でも企業1社で被害を確認,産経ニュース,2017年5月16日アクセス

*53:サイバー攻撃 東急電鉄でもウイルス感染,NHK,2017年5月16日アクセス

*54:大規模サイバー攻撃、国内被害21件確認 警察庁,日本経済新聞,2017年5月18日アクセス

*55:埼玉県内でも1件 県警が捜査,産経ニュース,2017年5月18日アクセス

*56:サイバー攻撃 国内被害新たに5件、佐久市の男性も,信濃毎日新聞,2017年5月18日アクセス

*57:ウィンドウズ弱点狙う 日産の英工場被害,2017年5月14日朝刊

*58:複数の英病院にランサムウエア攻撃、被害は世界に,CNN,2017年5月14日アクセス

*59:イギリス各地で国営の病院にサイバー攻撃,NHK,2017年5月14日アクセス

*60:サイバー攻撃 ランサム被害、150カ国で20万件以上,毎日新聞,2017年5月15日アクセス

*61:英病院にサイバー攻撃 病院業務に支障,産経ニュース,2017年5月14日アクセス

*62:英の日産自動車工場も被害 サイバー攻撃、生産に影響,共同通信,2017年5月13日アクセス

*63:大規模サイバー攻撃、日系企業にも影響 日産英国工場,日本経済新聞,2017年5月14日アクセス

*64:サイバー攻撃、国内2千台が感染 民間団体が分析,朝日新聞,2017年5月15日アクセス

*65:世界各国で大規模サイバー攻撃 病院や大手企業が被害,AFP通信,2017年5月14日アクセス

*66:仏自動車大手ルノーも世界的なサイバー攻撃の被害に,AFP通信,2017年5月14日アクセス

*67:世界大規模サイバー攻撃、中国でも被害が広がる,大紀元,2017年5月15日アクセス

*68:身代金要求ウイルス 韓国シネコン大手が感染,聯合ニュース,2017年5月15日アクセス

*69:身代金ウイルス 露で1000台感染 各国の被害状況は,毎日新聞,2017年5月17日アクセス

*70:各国襲ったサイバー攻撃 伯国の公的機関でも予防措置,サンパウロ新聞,2017年5月17日アクセス

*71:世界的サイバー攻撃 国内感染週明け続々,読売新聞,2017年5月16日朝刊

*72:サイバー攻撃、アジア各国に危機感,日本経済新聞,2017年5月17日アクセス

*73:大規模サイバー攻撃 韓国での被害 18件,KBS World Radio,2017年5月20日アクセス

*74:The Latest: Cyberattack hits schools, hospital in Taiwan,The Washington Post,2017年5月16日アクセス

*75:ランサムウェア攻撃 匿名の研究者が拡大を「偶然」阻止,CNN,2017年5月15日アクセス

*76:解析元によって数字にブレがあり、例えばTrendMicroは176種類としている。