事業運営

WannaCryの脅威と対策|企業の予防策と感染時のインシデント対応

catfish_admin

過去に世界的な被害をもたらしたランサムウェア「WannaCry」ですが、その脅威は決して過去のものではありません。サポートが終了したOSやセキュリティパッチが未適用のシステムが社内に一つでも残っていると、現在でも深刻な事業停止リスクに直結します。この記事では、WannaCryの攻撃の仕組みを改めて理解し、企業が今すぐ実施すべき具体的な予防策から、万が一感染してしまった際のインシデント対応までを体系的に解説します。

目次

WannaCryとは?その脅威と概要

世界的な被害をもたらしたランサムウェア

WannaCryは、感染したコンピューター内のデータを暗号化し、復元のために身代金を要求する「ランサムウェア」の一種です。2017年5月に発生した大規模サイバー攻撃でその名が知れ渡り、わずか数日で世界150カ国以上、30万台を超えるコンピューターに感染が拡大しました。

WannaCryの脅威は、単にデータを人質に取るだけでなく、社会インフラを機能不全に陥れる点にあります。

WannaCryがもたらした主な被害
  • 医療機関の停止: 英国の国民保健サービス(NHS)のシステムが停止し、手術の延期や救急患者の受け入れ拒否などが発生した。
  • 生産活動の停止: 日本国内でも大手メーカーの工場が操業停止に追い込まれ、サプライチェーンに深刻な影響を与えた。
  • 経済的損失: 世界中の企業活動が停止し、甚大な経済的損失をもたらした。

身代金の支払いには暗号資産であるビットコインが指定されましたが、支払ってもデータが復元される保証は一切ありません。むしろ、サイバー犯罪組織への資金提供となるため、要求には絶対に応じるべきではありません。

現在もなお残る感染リスク

WannaCryの脅威は過去のものではありません。攻撃コードがインターネット上に残存しており、脆弱なシステムを標的とし続けているため、現在も深刻なリスクとして存在します。

特に、以下のような環境は常に危険に晒されています。

感染リスクが高い環境
  • サポートが終了したOS: セキュリティ更新プログラムが提供されない古いOSを使い続けている端末。
  • パッチ未適用のシステム: 脆弱性を修正するセキュリティパッチを適用していないコンピューターやサーバー。
  • 閉域網の過信: インターネットから隔離されていても、USBメモリなどを介して侵入されると、内部で一気に感染が拡大する。

攻撃者は常に脆弱性を抱えた端末を自動的に探索しています。組織内に一台でも管理不備の端末があれば、それが侵入口となり、ネットワーク全体が機能不全に陥る可能性があります。WannaCryを過去の脅威と軽視せず、継続的なセキュリティ対策が不可欠です。

WannaCryの攻撃の仕組み

脆弱性「EternalBlue」を悪用した侵入

WannaCryの最大の特徴は、Windowsの脆弱性を悪用する攻撃プログラム「EternalBlue」を利用して侵入する点です。これは、ファイル共有などに使われる通信プロトコル「サーバーメッセージブロック(SMB)バージョン1」の欠陥を突くものです。

攻撃者は、ネットワークの出入り口であるTCPポート445番に対して特殊なデータを送り込み、意図的にシステムの処理能力を超えるデータを溢れさせる「バッファオーバーフロー」を引き起こします。これにより、遠隔から任意のプログラムを実行する権限を不正に奪取し、端末を完全に掌握します。

従来のマルウェアの多くがメールの添付ファイル開封など、人間の操作を介して感染するのに対し、WannaCryはユーザーの操作を一切必要としません。ネットワークに接続されているだけで、脆弱性を持つ端末を自動的に探し出して侵入を完了させます。この強制的な侵入メカニズムこそが、世界規模での爆発的な感染拡大を引き起こした最大の要因です。

ワーム機能によるネットワーク内での拡散

WannaCryが持つもう一つの恐ろしい特徴は、自己増殖して感染を広げる「ワーム機能」です。一度ネットワーク内への侵入に成功すると、WannaCryは自らを複製し、他の脆弱な端末へと自動的に伝播していきます。

ワーム機能による感染拡大のプロセス
  1. 感染した端末が、同じネットワーク内の他のコンピューターを探索する。
  2. ランダムにIPアドレスを生成し、SMBv1の脆弱性を持つ端末を探し出す。
  3. 脆弱な端末を発見すると、再び「EternalBlue」を用いて攻撃し、自身を複製・感染させる。
  4. このプロセスを繰り返し、社内ネットワーク全体、さらには外部ネットワークにまで感染を拡大させる。

この機能により、たった一台の感染端末が起点となり、ネズミ算式に被害が広がります。たとえ部署ごとにネットワークが分離されていても、設定に不備があれば容易に境界を越えて侵入します。そのため、端末単体の防御だけでなく、ネットワークの横展開(ラテラルムーブメント)を防ぐ多層的な防御策が不可欠です。

企業が講じるべきWannaCry予防策

セキュリティパッチ(MS17-010)の適用

最も根本的かつ効果的な予防策は、マイクロソフト社が提供するセキュリティ更新プログラム「MS17-010」を適用することです。このパッチは、WannaCryが悪用するSMBv1の脆弱性を完全に解消します。

2017年の大規模攻撃の際も、事前にこのパッチを適用していた企業は被害を免れています。社内で利用するすべてのWindows端末とサーバーの更新状況を一元管理し、速やかに適用を徹底する体制の構築が、サイバー攻撃から自社を守るための基本となります。

SMBv1の無効化とポート445の閉鎖

攻撃の侵入経路を遮断することも、非常に有効な予防策です。具体的には、以下の2つの対策を実施します。

通信経路の遮断策
  • SMBv1の無効化: 現在ではほとんど使用されない旧バージョンのプロトコルであるSMBv1を無効化する。
  • ポート445の閉鎖: WannaCryが侵入に利用するTCPポート445番を、ファイアウォールなどで社外からアクセスできないように遮断する。

パッチの適用が即座に難しい場合でも、これらの対策を先行して実施することで、侵入リスクを大幅に低減できます。

セキュリティソフトの導入と定義更新

マルウェアの侵入を水際で防ぐためには、エンドポイント(PCやサーバーなどの端末)のセキュリティ強化が欠かせません。従来のパターンマッチング方式のウイルス対策ソフトに加え、未知の脅威に対応できる次世代型の製品導入が推奨されます。

種類 主な機能 特徴
従来型ウイルス対策ソフト パターンマッチング 既知のマルウェアのシグネチャ(特徴)を基に検知する。
EDR (Endpoint Detection and Response) 振る舞い検知 プログラムの不審な挙動を監視し、未知のマルウェアを検知・隔離する。
セキュリティソフトの種類と特徴

いずれのソフトも、ウイルス定義ファイルや検知エンジンを常に最新の状態に保つことが絶対条件です。複数の防御機能を組み合わせることで、ランサムウェアの実行を未然に防ぐ確率を高められます。

定期的なバックアップと復旧テスト

万が一ランサムウェアに感染した場合の最後の砦となるのが、データのバックアップです。身代金を支払ってもデータが復元される保証はないため、バックアップからの復旧が事業を継続するための唯一の手段となります。

バックアップ運用においては、以下の点を遵守することが重要です。

バックアップ運用の重要ポイント
  • オフライン保管: バックアップデータはネットワークから物理的に切り離した場所(外付けHDD、テープなど)や、隔離されたクラウドストレージに保管する。
  • 遠隔地保管: 本番環境と同じ拠点で保管すると、災害などで同時に失われる可能性があるため、遠隔地にも保管する(3-2-1ルール)。
  • 復旧テストの実施: 定期的にバックアップデータからシステムを復元するテストを行い、いざという時に確実に使えることを確認する。

従業員へのセキュリティ教育の実施

WannaCryはシステムの脆弱性を突きますが、ランサムウェア全般の感染経路には、依然として人的ミスが多く含まれます。従業員一人ひとりのセキュリティ意識の向上が、組織全体の防御力を高めます。

不審なメールの添付ファイルを不用意に開かない、怪しいWebサイトにアクセスしないといった基本的なリテラシーの周知徹底が必要です。また、標的型攻撃メールを模した訓練を定期的に行い、インシデント発生時に速やかに情報システム部門へ報告するエスカレーションルールを定着させることも、被害拡大を最小限に抑える上で効果的です。

パッチ適用が困難なレガシーシステムのリスク管理

サポートが終了したOSや、業務の都合でパッチ適用が困難な古いシステム(レガシーシステム)は、WannaCryの格好の標的です。これらのシステムを使い続ける場合は、特別なリスク管理策を講じる必要があります。

最も重要な対策は、他のシステムが存在する主要な社内ネットワークから論理的・物理的に隔離(セグメンテーション)することです。独立した閉域網で運用し、USBメモリなどの外部記憶媒体の接続を厳しく制限することで、マルウェアの侵入経路を遮断します。

WannaCry感染時のインシデント対応

感染の兆候と確認すべきポイント

感染の兆候をいち早く検知し、迅速な初期対応につなげることが被害拡大を防ぐ鍵となります。感染が疑われる端末では、以下のような現象が発生することがあります。

WannaCry感染の主な兆候
  • PCの動作が極端に遅くなる。
  • CPU使用率が異常に高騰し、見慣れないプロセスが実行されている。
  • ファイルの拡張子が「.WNCRY」などに書き換えられ、開けなくなる。
  • デスクトップの壁紙が変更され、身代金を要求する脅迫文(ランサムノート)が表示される。

システム管理者としては、これらの表面的な現象に加え、ファイアウォールのログを監視し、ポート445番への不審なアクセスが急増していないかを確認することも、感染拡大の兆候を早期に捉える上で重要です。

初動対応:感染端末のネットワーク隔離

感染が疑われる端末を発見した場合、最優先で実施すべき初動対応は、その端末をネットワークから完全に隔離することです。ワーム機能による二次感染を防ぐため、一刻も早く実行する必要があります。

ネットワーク隔離の手順
  1. 感染が疑われる端末のLANケーブルを物理的に抜く。
  2. 無線LANに接続している場合は、Wi-Fi機能を無効にする。
  3. 端末の電源は絶対に切らない。シャットダウンすると、メモリ上に残されたマルウェアの痕跡など、原因究明に必要な証拠(デジタル・フォレンジック情報)が失われてしまうため、通電状態を維持する。

この初動対応のスピードが、被害を最小限に食い止められるかどうかを左右します。

事後対応:被害状況の把握と報告

感染端末の隔離が完了したら、次に被害の全体像を正確に把握するフェーズへ移行します。正確な状況把握は、その後の復旧計画を立てる上で不可欠です。

被害状況の調査項目
  • 感染範囲の特定: どの端末、サーバー、システムが感染したかを特定する。
  • データ被害の確認: どの範囲の共有ファイルや基幹データが暗号化されたかを調査する。
  • 影響範囲の評価: 事業継続にどのような影響が出ているかを評価する。
  • タイムラインの作成: 感染発覚から隔離までの経緯を時系列で正確に記録する。

調査結果は速やかに経営層や対策本部へ報告し、組織としての一貫した意思決定のもとで復旧作業を進める必要があります。

被害報告の義務とステークホルダーへの情報開示

個人情報の漏洩が疑われる場合など、インシデントの内容によっては、法令に基づく監督官庁への報告義務が発生します。例えば、個人情報保護法では、個人情報保護委員会への報告が定められています。

また、システムの停止によって取引先や顧客に影響が及ぶ場合は、速やかに状況を説明し、注意喚起を行う社会的責任があります。隠蔽することなく、客観的な事実と対策状況を透明性をもって情報開示することが、関係者からの信頼を維持するために重要です。

WannaCryに関するよくある質問

「キルスイッチ」とは何ですか?

キルスイッチとは、マルウェアの活動を緊急停止させる仕組みのことです。WannaCryのプログラム内には、特定の未登録ドメイン名にアクセスを試み、接続に成功した場合はそれ以上活動を広げずに自己停止するという処理が組み込まれていました。2017年のパンデミックの際、英国のセキュリティ研究者がこの仕組みを発見して当該ドメインを登録した結果、WannaCryの爆発的な感染拡大は急速に収束しました。

最新OSでも対策は必要ですか?

はい、絶対に必要です。最新のOSではWannaCryが直接悪用した脆弱性は修正されています。しかし、攻撃者は日々新たな脆弱性を探し、それを悪用する新しいランサムウェアや亜種を生み出しています。OSを最新の状態に保つことは基本ですが、それだけで安心せず、セキュリティソフトの導入やバックアップなど、多層的な防御策を継続的に講じることが不可欠です。

身代金を支払えばデータは戻りますか?

いいえ、保証は一切ありません。攻撃者は犯罪者であり、約束を守る義務はありません。実際に身代金を支払ったにもかかわらず、データが復元されなかったケースが多数報告されています。また、身代金の支払いはサイバー犯罪組織に資金を提供する行為であり、さらなる犯罪を助長することになります。いかなる場合でも、身代金の要求には応じるべきではありません。

WannaCryは現在でも脅威ですか?

はい、依然として深刻な脅威です。WannaCryの攻撃コードはインターネット上で広く知られており、誰でも悪用が可能です。世界中には、サポートが終了したOSや、セキュリティパッチが適用されていないシステムが未だに数多く稼働しており、常に攻撃の標的となっています。過去のウイルスと軽視せず、継続的な脆弱性管理とシステム更新を徹底することが極めて重要です。

まとめ:WannaCry対策の要点と継続的な脆弱性管理

WannaCryは、SMBv1の脆弱性を悪用し、ワーム機能によって自己増殖するランサムウェアです。最も効果的な対策は、セキュリティパッチ「MS17-010」の適用や不要なポートの閉鎖、そして多層的なセキュリティ対策を講じることです。この脅威を過去のものと軽視せず、自社のIT資産にパッチ未適用の端末やサポート切れのOSといった脆弱性が残存していないか、継続的に管理する体制が不可欠です。万が一の感染に備え、オフラインでのデータバックアップと定期的な復旧テスト、そしてインシデント発生時の対応フローを具体的に定めておくことが事業継続の鍵となります。本記事で解説した対策は一般的なものですが、具体的な実装については、自社のシステム環境をよく理解する専門家へ相談することをお勧めします。

Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

運営会社情報ページへ
Recommend
こちらの記事もどうぞ
記事URLをコピーしました