トレンドマイクロは5月13日、公式ブログで「大規模な暗号化型ランサムウェア「WannaCry／Wcry」の攻撃、世界各国で影響」と題する記事を公開しました。

深刻な暗号化型ランサムウェア（身代金要求型ウイルス）が世界各国で攻撃を行っている事実が確認されています。この攻撃は、2017年3月および 4月に明らかになった2つのセキュリティリスクが組み合わされて実行されました。1つは、Windows SMB のリモートでコードが実行される脆弱性「CVE-2017-0144」で Microsoft の3月のセキュリティ情報により明らかになり、同社は問題の脆弱性に対する更新プログラムを公開しました。もう1つは、暗号化型ランサムウェア「WannaCry／Wcry」で、同年4月に確認されたものです。

今回の攻撃で使われた暗号化型ランサムウェア「WannaCry／Wcry」は、300米ドル（約3万4千円、2017年5月13日時点）相当の身代金をビットコインで要求することが分かっています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のフィードバックによると、英国、台湾、チリ、および日本などが今回の攻撃の深刻な影響を受けていることが判明しています。またこれらの国々以外にも、米国およびインドも検出が確認されています。


今回の攻撃に使われた脆弱性「CVE-2017-0144」が悪用されると、脆弱性を抱えるSMBサーバ上に不正なファイルがダウンロードされます。最終的に実際のランサムウェアとして不正活動するファイルがPC上に作成され、感染PC上のファイルが拡張子「WNCRY」として暗号化されることとなります。また、脅迫状を表示するためのファイルが別途ダウンロードされます。暗号化の対象となるファイルの拡張子は、合計166におよび、その中には、Microsoft Office やデータベース関連、圧縮ファイル関連、マルチメディア関連、さまざまなプログラミング言語関連のファイルが含まれています。

Windows SMB のリモートでコードが実行される脆弱性「CVE-2017-0144」は、Microsoftの3月のセキュリティ情報により既に更新プログラムが公開されています。また、今回の事例を受けて、同社は「WannaCry／Wcry」の影響を受ける「MS17-010」に対する更新プログラムも公開しています。企業や組織は、今回の脅威の影響を受けないためにも、更新プログラムの適用を怠らず、SMBサーバへの適切な環境設定を実施することを強く推奨します。

トレンドマイクロの「ウイルスバスター クラウド」をはじめとした各種製品では、「RANSOM_WANA.A」「RANSOM_WCRY.I」などの検出名でこれらのランサムウェアの検出対応を行っています。

• ランサムウェア
• サイバー犯罪
• サイバー攻撃
• 不正プログラム