すでに多くのニュースで報じられているように、「WannaCry」と呼ばれる不正プログラム(ウイルス)の被害が世界的に広がっています。医療機関、工場、交通機関などで感染が確認され、事務用のパソコンだけでなく、受発注や情報表示など、業務の背後を支えるパソコンまでもが被害にあっています。
被害と共に浮かび上がったのが、マイクロソフトが逐次提供しているウィンドウズ用修正プログラムをきちんと適用せず、ウイルス対策などの防御手段も不十分なパソコンが、大企業や公的機関を含めて、大量に使われているということでした。また、ウィンドウズXPの感染報告が多かったことも大きな問題をはらんでいます。XPは2014年にマイクロソフトによるサポートが終了し、利用は推奨されていません。いま使うのは非常に危険なOSです。
今回の問題は、東京オリンピックが開催される2020年とも密接に関係してきます。同年1月には、ウィンドウズ7のサポートが終了します。7は個人と企業の間の人気が非常に高く、今も多くの利用者がいます。もし現状のようなセキュリティー認識のまま五輪を迎えることになったら……。今回以上のパニックが起こらないとも限りません。今回のことは、オリンピックイヤーに向けた重要な教訓として生かされなければなりません。
WannaCryへの対処とともに、パソコンやソフトを安全に保つ方法、そして「更新」についても考えてみましょう。(ライター・斎藤幾郎)
■ユーザーのデータを暗号化して「身代金」を要求する手口
WannaCry(WannaCrypt、WannaCryptorなど別の名称で呼ばれることも)は、パソコンのデータを暗号化して、元に戻すのに代金を要求する「ランサム(身代金)ウェア」と呼ばれる不正プログラムの一種です。パソコンに感染すると、保存されているファイルを勝手に暗号化し、元に戻したければ仮想通貨のビットコインで300米ドルを支払うよう要求します(画像1)。3日以内に支払わないと価格が倍になり、7日後には戻せなくなると危機感をあおり、メッセージの隣で残り時間を表示します。
暗号化されるのは、ワードやエクセルなどのマイクロソフトオフィスの書類のほか、写真や音楽、動画、データベースなど150種類以上のファイル。ウィンドウズの壁紙まで変更してしまいます(画像2)。またウィンドウズ・ビスタや7では「以前のバージョン」として知られる「ボリュームシャドーコピー」機能が有効な場合は、同じドライブに保存されているバックアップデータも削除しようとします。
5月13日以降、ヨーロッパを中心に、150カ国以上で20万台以上のパソコンが被害にあったとみられており、日本でも、日立製作所やJR東日本などの大企業をはじめとする複数の組織で感染があったとみられると報じられています。企業だけでなく、個人が所有するパソコンが感染したケースもあるようです。
感染拡大の大きな原因とみられるのが、新旧のウィンドウズに共通する脆弱性(ぜいじゃくせい、セキュリティー上の弱点)を悪用して、WannaCry自身がネットワーク経由で他のパソコンに自動で感染を広げる機能を持っていることです。この点が、感染したパソコンだけで攻撃が完結する一般のランサムウェアと大きく異なる点です。
ただしマイクロソフトは、該当する脆弱性を解消する修正プログラムを3月に公開しており、パソコンが適切に更新されていれば自動感染の被害は防げました。しかし、今回の大規模な感染をみると、ウィンドウズの更新をしていなかったり、すでにサポートが終了して更新プログラムが提供されていなかったウィンドウズXPを使い続けたりしているパソコンが、世界的に少なくなかったのだということが分かります。
つまり今回の件は、OSを最新の状態で使わないことの危険性を軽視していた企業や組織の姿勢が被害拡大を招いたとも言えるのです。この点が解消されないと、将来も同様のことが起きる可能性は高いでしょう。
■「更新していないウィンドウズ」が標的になる
今回の感染はどのようにして起きたのでしょうか。情報セキュリティー各社の情報などを基に、自動感染の仕組みをもう少し詳しく説明しましょう。
ウィンドウズのファイル共有やプリンター共有では、「SMB」と呼ばれる通信プロトコル(規格)が使われます。このSMBの古いバージョンであるSMBv1を扱うウィンドウズのプログラムに脆弱性があり、外部から特殊なデータを受信すると、本来できないはずの、遠隔操作による命令の実行が可能になってしまいます。
WannaCryはこれを悪用します。情報セキュリティー企業のマカフィーによると、WannaCryは現在のパソコンに割り当てられているIPアドレスを基準にランダムなIPアドレスを指定してSMBによる通信ができるか試み、可能な場合は通信相手のパソコンに小さなプログラムを送り込んで実行させようとします。相手のパソコンに前述の脆弱性があると、プログラムが動き出し、インターネット上にあるサーバーからWannaCryの本体をダウンロードして実行。そのパソコンを自動でWannaCryに感染させるという仕組みです。
パソコンでは通常、SMBのプログラムが有効化されています。企業や組織でまとまった台数のパソコンがXPのままだったり、更新が行われていなかったりすると、1台からどんどん感染が広がってしまいます。WannaCryの開発者は、このことを狙ったのだと考えられます。
WannaCryは、組織内のネットワークの外に存在する外部の相手とも通信を試みます。しかし、多くの組織では外部につながるネットワーク回線との接続部分に設置されているルーターやファイアウォールといった機器が外部とのSMBによる通信を遮断するのが一般的なので、組織を超えた感染は封じ込められているようです。
SMBの脆弱性を修正済みのパソコンでは、自動感染は起こりません。マイクロソフトは修正を行う更新プログラムを3月に公開しており、現行のウィンドウズ7、8.1、10などはもちろん、4月にサポートが終了したウィンドウズ・ビスタにも提供されていました。
今回の大規模感染を受けてマイクロソフトは、すでにサポート期間が終了したXPや8.1にアップグレードしていないウィンドウズ8などの旧バージョンに対しても、特例として手動でインストールする更新プログラムを公開しました。「Microsoft Updateカタログ」の該当ページ(http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
)から、自分の使っているウィンドウズを探してファイルをダウンロードし、インストールします(画像3)。
WannaCryの自ら通信相手を探して感染を広げる手法は、2000年代初頭に流行した「ワーム」と呼ばれる不正プログラムと同じです。コードレッド(Code Red)、ニムダ(Nimda)、スラマー(Slammer)といった名前を覚えている人もいるでしょう。
当時の教訓を元に、マイクロソフトはセキュリティーを優先するよう開発の方向性を改め、ウィンドウズ・アップデートの仕組みなどを整えたのですが、ユーザー側で適切に利用されていなかったことが今回のWannaCry感染の一因となったのは残念なことです。
■「最初の感染」を防ぐのは従来通りのウイルス対策
感染が拡大する仕組みは分かりましたが、組織内での「最初の感染」はどのように起きたのか、つまり外部からの感染経路については、今のところはっきりしたことは分かっていません。
例えば、情報セキュリティー企業のトレンドマイクロは、5月15日に報道機関向けの説明会を開きましたが、WannaCryの感染経路について、「メールの添付ファイルやウェブからのダウンロードによる感染は確認できていない。不特定多数に向けたバラマキ型のメールではなく、特定の企業や個人に宛先を絞った標的型のメールや、SMBの脆弱性を使ったネットワーク経由で感染したのではないか」(同社セキュリティエバンジェリスト岡本勝之氏)と推測しています。
また、同業のファイア・アイが5月16日に公開したニュースリリースでは、「(WannaCryは)スパムメッセージの悪質なリンクを介して拡散したという情報があったものの、裏付けることはできなかった」としています。
おそらく、SMB経由、メールの添付ファイル、ウェブサイト、いろいろな経路で入り込んでいるのでしょう。WannaCry自体もいくつか細かな違いがあるものが確認されており、それぞれ異なる経路で「最初の感染」が行われたことも考えられます。
また、各社の分析によると、上で説明したSMBの脆弱性は感染の拡大に利用されるもので、WannaCryのランサムウェアとしての中心機能である暗号化や脅迫の実行には関与していません。マイクロソフトが5月14日に公開したウェブサイトのユーザー向け解説ページ(画像4)では、WannaCryで使用されている悪用コード(プログラムのこと)はウィンドウズ10には無効であることを確認していると述べています。これも、上の自動感染機能の部分を指しているようです。
ウィンドウズをきちんと更新していても、メールの添付ファイルなどの形でパソコンに入り込んだプログラムを実行することでWannaCryに感染してしまう可能性があります。ウィンドウズの更新状況にかかわらず、他のウイルスと同様の幅広い警戒が必要です。
電子メールの添付ファイルの取り扱いや、ウェブサイトからのダウンロードには注意を払うとともに、セキュリティー対策ソフトも最新の状態で利用しましょう。すでに、多くの対策ソフトがWannaCryに対応しているため、SMB以外の経路でパソコンに入り込んでも、検知し、除去できるでしょう。
■迅速に更新するか、代替策を講じるか
パソコンやソフトの買い替え、プログラムの更新は、セキュリティー対策の一部です。常に最新製品を使う必要はありませんが、メーカーのサポート期間内の製品を利用し、最新の状態に保つのは、安全に使う基本です。
業務で必須のプログラムが新しいOSでは動作しない。機器やソフトを入れ替える予算がない。更新のためにシステムを止めたり、更新後もきちんと動くかを迅速に検証したりするには人やお金の余裕がない――。企業や組織は、いろいろな事情を抱えているかもしれません。その場合は、攻撃を防ぐ別の備えが必要です。そうした代替策が十分でないまま、XPを継続利用したり更新を遅らせたりしていた結果、WannaCryに感染したパソコンは多かったのではないでしょうか。
サポート期間が終了して更新されなくなったOSやソフトをそのまま使い続けたり、更新プログラムを迅速に適用しなかったりする状態でパソコンを使うのは、シートベルトやエアバッグが壊れている自動車を運転し続けるようなものです。普通に走っている分には問題なさそうに見えますが、ひとたび事故が起きてしまったら、致命傷を負う可能性が高いのです。
情報セキュリティー上の失敗は単なる機器のトラブルではありません。データや金銭の喪失、業務の停止、信頼や評判の低下など、大きな被害をもたらす可能性があります。情報セキュリティーは、何を、どこまで、どのように防ぐかという判断が求められます。経営者も関わるべき重要な課題です。
もし、セキュリティー上の問題がある状態でパソコンを利用しても大きなトラブルはないだろうとたかをくくっていた経営者やシステム担当者がいたら、今回の騒動をきっかけに、考え直してもらえればと思います。
今後も、いろいろなプログラムに新しい脆弱性が発見され、それを狙う攻撃も無数に生まれるでしょう。「次」は大丈夫でしょうか。2020年早々に来るウィンドウズ7のサポート終了後は? 少々心配です。
画像1 WannaCryに表示される脅迫画面。英語、日本語のほか、28言語に対応している(画像提供:トレンドマイクロ)
