安心相談窓口だより

IPAに寄せられているランサムウェアの相談について
～Wanna Cryptorの感染防止のために今すぐWindows Updateを～

IPAは、世界各国でランサムウェアと呼ばれるウイルスの感染が拡大していることを踏まえ、感染対策に向けた緊急対策を5月14日に発表しました^(※1)。また、5月15日以降、IPAにランサムウェアに関する相談が多数寄せられています。

寄せられた相談によると、暗号化されてしまったファイルの拡張子が「.wncry」であったとの情報が複数あり、これはWanna Cryptorの感染被害と考えられます。感染被害者によれば、不審なメールの開封、添付ファイルの実行といった操作を必ずしも行ったとはいえず、また中にはブラウザの閲覧すらしていないという相談もありました。

感染してしまった場合の対処（FAQ）

感染しないための予防策

Wanna Cryptorの感染経路は未だ詳細が把握できていません。判っているのは、Wanna Cryptorは脆弱性 (CVE-2017-0145)^(※2)を悪用し、ネットワーク上に当該脆弱性が残る端末がないか探索、感染拡大を図る自己増殖型であることです。

下記はIPAで入手したWanna Cryptorの検体を実行させた様子を動画で撮影したものです。1台のパソコンに感染させると、同一ネットワーク内のもう1台のパソコンも感染してしまうことがわかります。パソコンでブラウザ閲覧やファイルの実行等、何もしていないのに端末が突然Wanna Cryptorに感染してしまう様子が確認できます。

YouTube：ランサムウェア「WannaCry （WannaCryptor）」感染実演デモ

Wanna Cryptorは同一ネットワーク内の端末だけでなく、外部ネットワークの端末に向けても感染を拡大させることが確認されています。つまり、当該脆弱性が残る端末であればネットワークに接続しているだけで感染してしまう可能性があります。そのため、長期間Windows Updateを実施していない端末は、至急、下記の対策を実施してください。

1. オフライン（ネットワーク接続をしていない）状態で必要なファイルをバックアップする。
2. ネットワークに接続し、Windows Updateを実行する^(※3)。
3. 更新プログラムが適用された（図1のように最新の状態となっている）ことを確認する。

図1：Windows Updateが適用されている（最新の状態となっている）例

ただし、上記対策はWanna Cryptorの感染に備えた限定的な対策です。よって「メール内の不審な添付ファイル、URLはクリックしない」「Windows等のソフトウェアをアップデートする」「ウイルス対策ソフトを更新する」などの感染に備えた予防策が引き続き求められます。

なお、Microsoft社からもWanna Cryptorの感染を防ぐために必要な情報が公開^(※4)されていますので、参照ください。

 

(※1) 

世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html

(※2) 

マイクロソフト セキュリティ情報 MS17-010 - 緊急
https://technet.microsoft.com/library/security/MS17-010

(※3) 

Windows Update 利用の手順 - Windows 7 の場合
https://www.microsoft.com/ja-jp/safety/pc-security/j_musteps_win7.aspx

 

Windows Update 利用の手順 - Windows 8 / Windows 8.1 の場合
https://www.microsoft.com/ja-jp/safety/pc-security/j_musteps_win8.aspx

(※4) 

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/