HOME情報セキュリティ届出・相談・情報提供安心相談窓口だより

本文を印刷する

情報セキュリティ

安心相談窓口だより

第17-08-369号
掲載日:2017年 7月 13日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

安心相談窓口だより

WannaCryptorの相談事例から学ぶ一般利用者が注意すべきセキュリティ環境

一覧を見る

5月15日からの数日間、IPAの安心相談窓口宛にWannaCryptor というランサムウェアに関する相談が多数寄せられました。(*1) WannaCryptorはネットワークを介して攻撃パケット(*2)を送出することで感染拡大を図る(*3)という特徴が、従来のランサムウェアには無い機能であったことからIPAでも注視していました(図1)。また、6月27日には海外でPetyaというOSを読み込む領域を破壊するランサムウェアの感染被害(*4)が報道されました。このPetyaもネットワークを介して感染拡大を図る機能を有していたことが確認されています。

図1: “感染拡大を図る攻撃パケット”を受信してWannaCryptorに感染してしまう原因3点
図1: “感染拡大を図る攻撃パケット”を受信してWannaCryptorに感染してしまう原因3点

これまでのランサムウェアの感染経路は主にメールやウェブサイトでした。しかし、今後はWannaCryptorやPetyaのような、新たに出現したネットワーク上に攻撃パケットを送出して感染拡大を図る手口により、更なる被害の発生(*5)も考えられます。そのため、IPAに寄せられたWannaCryptorに関する相談事例から、被害に遭わないために一般利用者が注意すべきセキュリティ環境について紹介します。

 
(※1)
【緊急対策】世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html
IPAに寄せられているランサムウェアの相談について
https://www.ipa.go.jp/security/anshin/mgdayori20170515.html
(※2)
利用するネットワークに適したサイズに分割された通信データの単位。
(※3)
YouTube:ランサムウェア「WannaCry (WannaCryptor)」感染実演デモ
https://www.youtube.com/watch?v=duN9dYG4q3s別ウィンドウで開く
(※4)
感染が拡大中のランサムウェアの対策について
https://www.ipa.go.jp/security/ciadr/vul/20170628-ransomware.html
(※5)
警察庁:ランサムウェア「WannaCry」の亜種に感染したPCからの感染活動と見られる445/TCPポート宛てアクセスの観測について
https://www.npa.go.jp/cyberpolice/important/2017/201706221.html別ウィンドウで開く

■ WannaCryptorに感染する恐れのある宅内パソコンのセキュリティ環境

IPAに寄せられた相談において、WannaCryptorの感染被害に遭ったという一般利用者の宅内パソコンには、以下のような共通点が見られました。

  1. Windows Updateが長期間未実施であった。(脆弱性が存在する)
  2. ファイアウォール(*6)の設定が無効になっていた。(特定ポートを公開したままにしている)
  3. ルーターを経由せず、パソコンが直接インターネットに接続されていた。(インターネットから宅内パソコンに直にアクセスができる)

上記の条件をすべて満たす環境である場合、パソコンをインターネットに接続しているだけでWannaCryptorの感染被害に遭う恐れがあり、実際、不審なメールの添付ファイルを開いたなどの操作をしていないにも関らず、気付いたらWannaCryptorに感染していたという相談が複数ありました。

 
(※6)
外部からの不要な通信をブロックするセキュリティ製品および機能。Windows OSでは通常「Windowsファイアウォール」が有効になっている。

■ WannaCryptorの相談事例から見えた宅内パソコンに必要な対策

寄せられた相談の共通点は上記に挙げた通りでしたが、どうしてこの様な環境設定となっていたのかは、利用者自身にもよく判らないというものでした。このように、利用者自身が設定環境を認識せず被害に遭うことのないよう、図1で示した宅内のパソコンのセキュリティ環境に対して、以下に説明する(1)~(3)の対策の実施を推奨します。

(1)Windows Updateは定期的に適用状態の確認を

「Windows UpdateによってWindows 10にアップグレードされてしまうことを防ぐため、Windows Updateの自動更新を昨年から停止していた」という複数の相談が寄せられていました。このことから、マイクロソフト社のアップグレードキャンペーンが終了した後も自動更新に設定を戻さなかったことで、WannaCryptorが悪用する脆弱性が解消されずに、被害に至ったものと考えられます。

また、何らかの理由によりWindows Updateが失敗していることもありますので、定期的にコントロールパネルを開き、Windows Updateが適切に更新されているか(最新の状態となっているか)を確認してください(図2)。

図2:Windows Updateが適用されている(最新の状態となっている)例
図2:Windows Updateが適用されている(最新の状態となっている)例

(2)Windowsファイアウォール機能を有効にする

WannaCryptorは特定ポートへの攻撃パケットで感染拡大を図りますが、この通信は通常Windowsファイアウォールによってブロックされる対象となっています。「特にWindowsファイアウォールを無効にした覚えはない」という相談もあり、無効となっていた具体的な原因は判明しませんでした。しかし、Windowsファイアウォールを有効にすることで、他に利用するソフトやサービスによっては正常に動作しなくなるということがあるため、その対処において結果的にWindowsファイアウォールが無効となっていたなどの可能性が考えられます。

Windowsファイアウォールの設定が有効かどうかの確認は、コントロールパネルで行います(図3)。なお、セキュリティソフト等のファイアウォール機能を利用している場合は、Windowsファイアウォールを有効にすることでセキュリティソフト等が正常に動作しなくなる(そのために無効に設定されている)可能性があります。詳細はセキュリティソフトベンダーのサポート窓口へお問い合わせください。

図3:Windowsファイアウォールが有効になっている例
図3:Windowsファイアウォールが有効になっている例

(3)インターネット接続はルーター経由とする

ルーターを経由せずにインターネットに接続している場合、宅内のパソコンは直接インターネットに接続している(グローバルIPアドレスが割り当てられる)ことになります。この場合、インターネット上の別の機器から直接アクセスが可能であるため、WannaCryptorの攻撃パケットを受信してしまう恐れがあります。実際、VDSL(*7)接続のマンションで直接インターネットに接続しているパソコンがWannaCryptorの被害に遭ったという相談がありました。

一方、ルーター経由でインターネットに接続している(プライベートIPアドレスが割り当てられる)場合、そのパソコンはインターネット上の別の機器からアクセスされることはありません。よって、WannaCryptorの攻撃パケットをはじめ、パソコンが外部からの攻撃を受けることはありません。グローバルIPアドレスが割り当てられるネットワーク環境を利用している場合は、ルーターを導入することを強く推奨します。(*8)

図4:ルーター経由でインターネットに接続することでパソコンを外部の攻撃から守る
図4:ルーター経由でインターネットに接続することでパソコンを外部の攻撃から守る

なお、現在のネットワーク環境がルーターを経由した接続なのかを確認するには、次のような方法でパソコンのIPアドレス(プライベートIPアドレスが割り当てられているか)を確認することができます。

 
(※7)
既存の電話回線を利用してインターネットとの高速通信を実現する接続方式。集合住宅のインターネット接続環境として用いられることがある。
(※8)
JPCERT/CC:グローバルIPアドレスが割り当てられたPCやサーバに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170023.html別ウィンドウで開く
日本サイバー犯罪対策センター:グローバルIPアドレスを直接割り当てられたPCのセキュリティ対策について
https://www.jc3.or.jp/topics/gip_sec.html別ウィンドウで開く
参考:IPアドレスの確認方法
  1. キーボードの[Windows]キーを押しながら[R]キーを押す。
  2. 「ファイル名を指定して実行」ウィンドウの「名前」欄に「cmd」と入力しOKをクリック。
    図5:「ファイル名を指定して実行」ウィンドウ入力例
    図5:「ファイル名を指定して実行」ウィンドウ入力例
  3. コマンドプロンプト画面が開くので、「ipconfig」と入力して「Enter」キーを押す。
  4. 表示された情報から「IPv4アドレス」の値を確認する。
    図6: IPv4アドレスの値を確認する(ここでは
    図6: IPv4アドレスの値を確認する(ここでは"192.168.1.1"という値が確認できる)
  5. 確認できたIPアドレスがプライベートIPアドレスなのかを判断する。

    IPアドレスは「.(ドット)」で4つに区切られていて、図7の①の数字と②の数字が次のいずれかの条件に合致する場合はプライベートIPアドレスと判断できます。

    • ①の数字が192で、かつ②の数字が168の場合
    • ①の数字が172で、かつ②の数字が16以上31以下の場合
    • ①の数字が10の場合
    図7:IPアドレスの構成と確認する数字
    図7:IPアドレスの構成と確認する数字

なお、WannaCryptorのような感染拡大を図る機能は有していないものの、新しいランサムウェアに感染したという相談が寄せられています。上述した対策だけでなく、「メールの添付ファイルを不用意に開かない」、「重要なデータは定期的にバックアップする」といった従来の基本的なランサムウェアの対策も忘れずに実施してください。

アンケートのお願い

まもるくんからのお願い   よろしければ今後のサービス向上を図るため、「安心相談窓口だより - WannaCryptorの相談事例から学ぶ一般利用者が注意すべきセキュリティ環境」に関するアンケートにご協力ください。

アンケート画面へ

更新履歴

2017年7月13日 掲載

本件に関するお問い合わせ先

情報セキュリティ安心相談窓口
 Tel: 03-5978-7509 Fax: 03-5978-7518
 E-mail: 電話番号:03-5978-7509までお問い合わせください。
 技術本部 セキュリティセンター 黒谷 野澤

※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。