本記事に対する一般の方からのお問い合わせには対応しておりません。

テレビのニュースでも大々的に報じられているとおり、5月13日ころから世界中でランサムウェア(身代金要求型)であるWannaCryの亜種がコンピュータを乗っ取り、業務を停止させてしまうといった猛威を奮っています。海外では、手術ができないという事態に陥っている病院もあるようです。

暗号化されてしまったファイルの復号(復元、解除)は現時点では難しく、もしかしたらセキュリティベンダーやネット上のホワイトナイトが復号化ツールを提供してくれるかもしれませんが、なかなか難しいでしょう

 →2017/05/23追記 独立行政法人情報処理推進機構(IPA)が、Windows 7のパソコンがWannaCryに感染する動画を公開しました。最初に感染したパソコンと同じLAN上の他のパソコンが即座に感染させられる様子を確認できます。

 →2017/05/19追記 タブクルさんのサイトによると、XP向けの暗号解除ツールがリリースされたとのことです。
現時点でできることは、ウイルスは「ファイルを暗号化した後、オリジナルを削除する」という挙動をとるので、ファイル復元ソフトなどを使って復元を試みるしか手はないようです。その場合に備え、感染したパソコン上で、むやみに操作は行わないほうが良いでしょう。

このタイミングでなぜ爆発的な感染となってしまったのか?
セキュリティベンダー等からのニュースによれば、

  • 今回の感染経路は、WannaCryの亜種が添付されたメールをパソコン上で展開・実行したことが原因と思われる。
  • 適切な設定を行ったルーターを介さず、インターネットに直接接続されたパソコンのSMBポートに対し、感染用ツールを使って攻撃(Malwarebytes POST)した。
  • WannaCryの亜種には、Microsoft Windowsのファイル共有モジュールの脆弱性(MS17-010)を突いて、LAN内に感染を広げる機能が組み込まれていた。感染すると、コンピュータ上のファイルを暗号化し、暗号解除のために身代金を要求するというもので、暗号を解除するまではそのコンピュータで業務が行えなくなってしまう。
  • この「Microsoft Windowsのファイル共有モジュール(SMB)の脆弱性」は、米国家安全保障局(NSA)からハッカー集団「Shadow Brokers」が盗んだツール(Shadow Brokersが4月14日にネット上に公開)で攻撃が可能だった。
  • このツールの機能を取り込んで感染を拡大させたものがWannaCryの亜種であろうと思われる。
  • 「Microsoft Windowsのファイル共有モジュール(SMB)の脆弱性」は、サポートが有効なOS(Windows7、8.1、10など)に対しては2017年3月に更新プログラムがリリースされてていたが、サポートが終了していたOSの更新プログラムはリリースされなかった。
  • 2017年5月13日、マイクロソフトはサポートが終了したXP、8、Server 2003などのOS向けに「Microsoft Windowsのファイル共有モジュール(SMB)の脆弱性」の更新プログラムをリリースした。(KB4012598、要手動インストール)

ということです。
以上の内容から、

ハッカー集団によって公開された攻撃ツールによりウイルスの作成が容易になり、攻撃が増えた。そして、1次感染したコンピューターにより、そのコンピューターが接続されているネットワーク(LAN)上のMicrosoft Windowsのファイル共有モジュールの脆弱性の問題があるコンピューターに2次感染を広めた。

というところだろうと想像します。
従いまして、

  • Windows Updateを実行し、最新の更新プログラムを適用する。
  • サポート切れのOSを搭載したコンピュータは使わない。
  • 受信したメールの不審な添付ファイルは開かない。
  • Flash PlayerやPDFリーダーを最新版にする。

を実施すれば、この事態だからと言って特に不安になることはありません。

2017/05/17 追記
 ・セキュリティパッチ適用詳説:今すぐできるWannaCry対策 (1/2) – @it
  に企業LANに向けた対策の詳細が掲載されています。ぜひご一読ください。

当社では、対象地域の法人様向けに、統合型のウイルス対策ソフトの導入支援などの「セキュリティ対策サービス」を有償で提供しております。

お見積りは無料です。お気軽にお問い合わせください。