米国家安全保障局(NSA)のサイバー兵器がハッカー集団「Shadow Brokers」に盗まれウェブに公開される中、ついにそれを悪用するサイバー攻撃と思しきものが起こってしまいました…。
Windowsの脆弱性「EternalBlue」を突くランサムウェア「WannaCry」の亜種「WanaCrypt0r」が150カ国を襲い、中国の大学、イギリスの20以上の国立病院、ドイツの駅、フランスの日産ルノー自動車工場、スペインの通信最大手Telefonica本社、アメリカのFedExなどに被害が広まっています。
メール経由で感染し、全ファイルに暗号化ロックをかけ、「ロック解除の鍵が欲しかったら3日以内に300ドル(約3万4000円)払え、払わないと倍になる」と脅迫文が出るというもので、MalwareHunterTeamが最初に伝えました。Kaspersky Labが「74ヶ国で45,000件」と発表した6時間後の段階では被害の7割がロシアに集中していました。
36,000 detections of #WannaCry (aka #WanaCypt0r aka #WCry) #ransomware so far. Russia, Ukraine, and Taiwan leading. This is huge. pic.twitter.com/EaZcaxPta4
— Jakub Kroustek (@JakubKroustek) May 12, 2017
その後あっという間に全地球に広まり、日産ルノーのロゴが見える工場のシステムもこんな状態に。
This appears to be a pic of a ransomware-hit system on Nissan's production line. pic.twitter.com/yPFCPceTAV
— Graham Cluley (@gcluley) May 13, 2017
フランクフルト市内の駅の交通案内も…
Just got to Frankfurt and took a picture of this... #Sbahn, you got a #Ransomware! pic.twitter.com/w0DODySL0p
— Marco Aguilar (@Avas_Marco) May 12, 2017
カナダのオフィスロビーも…
Wow, even in my building lobby! #WannaCry#ransomwarepic.twitter.com/ilPqHBmiB5
— Andrew Tinits (@amtinits) May 12, 2017
中国石油のガソリンスタンドもこのとおり。
hahahaha pic.twitter.com/LbMlyPFjwq
— Lostinabc (@lostinabc) May 13, 2017
いやもう、ほんと笑うしかないスピードです。世界全体で見るとこんな分布になります。
Check out this NYT post, they made a really cool time based map with my data https://t.co/K7lVjagq29
— MalwareTech (@MalwareTechBlog) May 13, 2017
あれ? 日本にも被害があるなと思って探したら、無題な濃いログさんが挙動を確認し、身代金要求画面の日本語版を公開していました。自動翻訳が無駄に丁寧で、脅迫と理解するのにやや時間がかかる感じですが…。
(一部抜粋)
私たちは6ヶ月で払うことができないほど貧しい人々のために無料イベントを開催します。
…。あんまり脅されている気がしないですよね…。日本であまり被害報告がないのはそのせいなのかな…。
無意識のうちにストッパーとなった青年
逆にイギリスでは診察や手術が中止となり、急患の救急車がほかの病院に転送されるなどの騒ぎとなりました。
そんな中、現れた救世主がMalwareTechという現地在住22歳のサイバーセキュリティブロガーです。挙動を確認する際に、マルウェアの中にドメイン名を見つけたため購入。これが我知らずのうちにシンクホールともキルスイッチとも呼ばれる対処(ボットネットのコントロールを掌握すること)となり、感染の拡大がだいぶ縮小されたのです。
このDNSシンクホール化のおかげで、すでに10万人以上の被害が防がれた
…とイギリス国家サイバーセキュリティセンター所長直々にその功績を讃え、青年は一躍ヒーローです。こういうこともあるんだなあ…。
アプデすれば大丈夫
さて気になる対処ですが、Microsoftからは実はもうとっくの昔(3月)にパッチが出ています。自動アップデートしていれば心配はないし、世界的に自動アップデートをプッシュする、と同社はあちこちで声を枯らして叫び、自動更新対象外の古いXP以前のバージョンにもパッチを緊急リリースしましたよ。
また、自動アップデートされているか不安という方は、行政法人のIPAが発表した対処法でアップデートしておいたほうが良さそうです。最近アプデさぼり気味の方は急げ!
・強制アップデートを回避。「Windows 10 Creators Update」は、なんと一時延期が可能
image: Securelist
source: 無題な濃いログ, Microsoft, IPA 独立行政法人 情報処理推進機構, Twitter 1, 2, 3, 4, 5, 6, The Mirror
reference: 日本経済新聞, New York Times
Dell Cameron - Gizmodo US[原文]
(satomi)