5月12日に出現し、世界中の管理者やユーザーを泣かせた「WannaCry(ワナクライ:泣き出したい)」。「ランサムウエア」の枕詞が付いていたが、ネットワーク経由で増殖する「ワーム」でもあった。

 感染防止の観点では、ワームである点をもっと強調すべきだった。そうすれば、社内ネットワークへの侵入を防げた可能性がある。

脆弱性を突いて感染拡大

 WannaCryは、WannaCryptやWanna Cryptor、Wcryなどとも呼ばれる。感染後の挙動を見ると、WannaCryはランサムウエアの一種といえる。ランサムウエアとは、パソコンやファイルを暗号化して利用不能にし、復旧したければ金銭を支払うよう画面に表示して“脅迫”するウイルス(マルウエア)のこと。

WannaCryが表示する身代金要求の画面
WannaCryが表示する身代金要求の画面
(出所:情報処理推進機構)
[画像のクリックで拡大表示]

 一般的なランサムウエアと異なるのは、脅迫すると同時に、WindowsのSMBの脆弱性を突いて感染を広げる点だ。いわゆるワームとして動作する。この脆弱性のあるパソコンは、細工が施されたデータを送信されるだけでWannaCryに感染し、ファイルを暗号化されてしまう。

 このため、脆弱性のあるパソコンが接続されている社内ネットワークでは、1台がWannaCryに感染すると爆発的に感染を広げ、社内システムやネットワークがマヒする恐れがある。

 ここまでは、出現から間もなく明らかにされた内容だ。問題は、WannaCryがどのように社内ネットワークに侵入するかだった。言い換えると、被害に遭った企業や組織において一番最初に感染したパソコン(感染源となったパソコン)は、どのように感染したかがはっきりしなかった。

メールの情報が一切ない

 当初予想されたのはメール経由だった。ランサムウエアの多くはメールに添付されて送られてくるからだ。トレンドマイクロによると、2016年に確認したランサムウエアのおよそ8割がメールで配布されていたという。