IPAに寄せられているランサムウェアの相談について

IPAは、世界各国でランサムウェアと呼ばれるウイルスの感染が拡大していることを踏まえ、感染対策に向けた緊急対策を5月14日に発表しました(脚注1)。また、5月15日以降、IPAにランサムウェアに関する相談が多数寄せられています。

寄せられた相談によると、暗号化されてしまったファイルの拡張子が「.wncry」であったとの情報が複数あり、これはWanna Cryptorの感染被害と考えられます。感染被害者によれば、不審なメールの開封、添付ファイルの実行といった操作を必ずしも行ったとはいえず、また中にはブラウザの閲覧すらしていないという相談もありました。

感染してしまった場合の対処（FAQ）

1. Q1パソコンは問題なく操作できるがこのまま使い続けてもよいか。

   A1

   ウイルス感染に至った経緯やパソコンの環境にもよりますが、ランサムウェア以外のウイルスに感染している等の可能性も考えられます。そのため、パソコンは初期化をしてから利用を再開することを推奨します。
   
   なお、具体的な初期化の方法については、パソコンによって手順が異なるため、メーカーのサポートに問い合わせてください。

   閉じる

2. Q2暗号化されてしまったファイルを元に戻すことはできるか。

   A2

   基本的に暗号化されたファイルを元に戻す（復号する）ことはできません。
   
   ただし、過去には特定のランサムウェアについて復号ツールが公開された例もあり、今後、復号ツールが提供される可能性もゼロではありません。急を要しないものであれば、暗号化されたファイルを保存しておくことも一考です。

   閉じる

感染しないための予防策

Wanna Cryptorの感染経路は未だ詳細が把握できていません。判っているのは、Wanna Cryptorは脆弱性 (CVE-2017-0145)(脚注2)を悪用し、ネットワーク上に当該脆弱性が残る端末がないか探索、感染拡大を図る自己増殖型であることです。

下記はIPAで入手したWanna Cryptorの検体を実行させた様子を動画で撮影したものです。1台のパソコンに感染させると、同一ネットワーク内のもう1台のパソコンも感染してしまうことがわかります。パソコンでブラウザ閲覧やファイルの実行等、何もしていないのに端末が突然Wanna Cryptorに感染してしまう様子が確認できます。

YouTube：ランサムウェア「WannaCry （WannaCryptor）」感染実演デモ

Wanna Cryptorは同一ネットワーク内の端末だけでなく、外部ネットワークの端末に向けても感染を拡大させることが確認されています。つまり、当該脆弱性が残る端末であればネットワークに接続しているだけで感染してしまう可能性があります。そのため、長期間Windows Updateを実施していない端末は、至急、下記の対策を実施してください。

1. オフライン（ネットワーク接続をしていない）状態で必要なファイルをバックアップする。
2. ネットワークに接続し、Windows Updateを実行する(脚注3)。
3. 更新プログラムが適用された（図1のように最新の状態となっている）ことを確認する。

ただし、上記対策はWanna Cryptorの感染に備えた限定的な対策です。よって「メール内の不審な添付ファイル、URLはクリックしない」「Windows等のソフトウェアをアップデートする」「ウイルス対策ソフトを更新する」などの感染に備えた予防策が引き続き求められます。

なお、Microsoft社からもWanna Cryptorの感染を防ぐために必要な情報が公開(脚注4)されていますので、参照ください。

1. (脚注1)
   世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について
2. (脚注2)
   マイクロソフト セキュリティ情報 MS17-010 - 緊急
3. (脚注3)
   Windows Update 利用の手順 - Windows 7 の場合

   • Windows Update 利用の手順 - Windows 8 / Windows 8.1 の場合
4. (脚注4)
   ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス