(cache) 世界各地で発生したランサムウェア WannaCry 2.0 の感染事案についてまとめてみた

2017年5月12日頃から、世界各地でランサムウェアに感染する被害が相次いで報告されています。ランサムウェアはWannaCry 2.0等と名前が付けられているもので、これに感染する原因として、Windowsの脆弱性、及びその脆弱性を用いたNSAが開発したツールが関係している可能性があると各国のCSIRTやセキュリティベンダが注意喚起等を公開しています。Microsoftは今回の感染事案を受け、WindowsXPなどのサポートが切れたOSを対象とした緊急の更新プログラムも公開しました。

ここではこの世界中で発生したランサムウェア WannaCry の感染被害などについてまとめます。

インシデント タイムライン

日時	出来事
2016年9月16日	MicrosoftがSMBv1の使用停止を強く推奨する記事を公開。
2017年1月16日	US-CERTがSMBv1の無効化を含むSMBのセキュリティにおけるベストプラクティスを公開。
2017年3月14日	Microsoftがセキュリティ情報 MS17-010を公開。
2017年4月14日	Shadow BrokersがETERNALBLUEなどを含む様々なExploitを公開。
同日	MicrosoftがShadow Brokersが公開したExploitはいずれも修正済みだと報告。
2017年4月25日	DropboxのURLを悪用したWannaCryが確認されているとしてTrendMicroが情報を公開。
2017年5月12日 17時頃	WannaCry 2.0の感染キャンペーンが開始された模様。
同日	MS17-010で悪用された脆弱性を通じてWannaCry 2.0が世界規模で拡散されていると多数の報道。
同日	MicrosoftがRansomwareによる攻撃への声明を公開。サポート終了済のOSにも緊急パッチを公開。

注意喚起等

感染被害件数

国内メディアが報じている被害件数

報道元	被害国	被害件数
NHK*1	99か国	7万5000件以上
読売*2	99か国	約7万5000件
朝日*3	約100か国	－
毎日*4	99か国	7万5000件
産経*5	約100か国	5万7000件
日経*6	99か国	約7万5000件
共同通信*7	99か国	7万5000件
時事通信*8	74か国⇒99か国	4万5000件以上⇒7万5000件以上

セキュリティ ベンダが発表している被害件数

報告元	被害国	被害件数
Avast	57か国⇒104か国	5万7000件⇒12万6000件
Kaspersky	74か国	4万5000件以上
FOX IT	－	17万以上

国別の感染被害状況

被害が出たと報じられている国

日本国内の被害の状況

日本での被害はTrendMicro、Kasperskyの2社がセキュリティ対策ソフトで検知した件数を集計を通じて攻撃の発生を確認している。実際に感染被害が出ているかどうかは不明。*9
警察庁が各都道府県警を通じて情報収集を行っている。5月13日午前中時点で日本政府や企業などでの被害は確認されていない。*10
NISCはTwitterを通じて、5月13日21時時点で国内での大きな被害報告が入っていないことを明らかにした。

【注意喚起】英国の医療機関に対するサイバー攻撃の報道ありますが、5月13日21:00時点では、我が国で大きな被害の報告はなされてません。予防のためウインドウズのアップデートをお願いします
— NISC@みんなのサイバー天気予報 (@nisc_forecast) 2017年5月13日

感染被害の具体的事例

英国：NHS（国民保健サービス）

Statement on reported NHS cyber attack
NHSが直接の標的として狙われた攻撃ではない。NHS関連病院の大半のマシンはまだWindows XPが用いられている模様。(Foursys)
感染したマルウェアがRansomware「Wanna Decryptor」だと確信していると声明。
NHSより提供されていたシステムが一部地域で停止する事態となった。これにより次のような影響が生じた。
- システムがロックアウトされ、患者のファイルなどを確認することが出来なくなった。手書きによる事務に切り替えた。
- 複数の医療機関で診療が行えなかった。
- レントゲン撮影を行うことが出来なくなった。
- 予定されていた心臓手術が中止となった。
- 救急搬送された患者を受け入れられず救急車の行先変更が必要となった。
- 急患以外は受信に来ないよう呼びかけが行われた。*11
NHSに登録された患者情報がアクセスされたとの情報は現時点で確認されていないとNHS担当者はコメント。*12
英国は少なくとも36の病院が影響を受けた。またスコットランド、ウェールズ等の病院には影響は及ばなかった模様。名前が挙がっている場所は次の通り。*13
- NHS Glasgow
- NHS Lanarkshire
- NHS Dumfries and Galloway
- NHS Forth Valley
- NHS Tayside
- NHS Western Isles
- NHS Borders
- NHS Fife
- NHS Ayrshire and Arran
- NHS Grampian
- NHS Highland
英国保健当局は今回のこの事態を重大な事件として警告した。
英国内務長官は45の公衆衛生機関が影響を受けたと述べた。*14
NHS内のマシンの9割はWindowsXPが使い続けられていた。

英国：日産 サンダーランド 自動車工場

被害の具体的な状況は不明。13日現在復旧中。*15
地元紙によれば自動車生産が一時的に止まるなどして影響が生じた模様。
日産広報担当者はこの事案によるビジネス上の影響はないと説明している。
日産は他国の工場にも同様の被害がないか調査を進めている。
同工場では年間約50万台の車を生産している。*16

ロシア：内務省

内務省内のPC約1000台が攻撃を受けた模様。同省で使用されるマシン数全体の約1%未満。

ロシア：MegaFon

コールセンター業務に支障が生じた。*17

スペイン：テレフォニカ

Incidencia ciberseguridad
テレフォニカのマシン85%に影響が及んだ。
発生当時、拡声器を使って従業員に即時停止を呼びかけした。

フランス：ルノー

スロベニアのノボメストの子会社 Revoz本社のマシンが影響を受けた。
これにより12日夜に生産ラインの稼働が停止し、13日も停止したままの状態となった。*18

その他影響を受けたとして名前が挙げられていた被害組織

アメリカ：FedEx
中国：北京大学
スペイン：Vodafone Espana
スペイン：KPMG consultancy
スペイン：BBVA銀行
スペイン：santander銀行
スペイン：Iberdrola
ポルトガル：Portugal Telecom

その他感染報告ツイート

感染するランサムウェア「WannaCry」の詳細

感染対象のマシン

MS17-010で公開された更新プログラム未適用のWindows 7、Windows Server 2008、またはそれ以前のOSを対象に感染する。設計上、Windows 10はこの攻撃の影響を受けない。(Microsoft)

ドロッパーの挙動・特徴

次のドメインに接続しようと試み、これに失敗した場合にRansomwareに感染する。接続に成功した場合実行が停止され、感染することはないキルスイッチの動作をする。(Microsoft) ただし、このキルスイッチが存在しないバージョンもすでに確認されているとの報告もある。

hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

「mssecsvc2.0」という名称のサービスを作成する。このサービスを通じて他のマシンへ感染をしようとする。これにはSMBの脆弱性が悪用される。(Microsoft)

ランサムウェア「WannaCry」の挙動・特徴

166種類の拡張子を対象に暗号化を行う。
暗号化したファイルには「.WNCRY」という文字列をファイル名末尾に追加する。
暗号化処理が完了すると、ボリュームシャドーコピーの削除を行う。
デスクトップの背景画像を暗号化したことを示すメッセージを含めたものに変更する。
身代金要求の詳細と期限を示すタイマーを表示する。
4月に確認された際は、Dropboxを通じて撒かれていたことからTorrentLockerの亜種と分析されていた。(TrendMicro)

ワームの挙動・特徴

LAN上のWindowsマシンを走査し、CVE-2017-0145を用いて感染を試行する。
インターネット上をランダムに走査し、CVE-2017-0145を用いて感染を試行する。

要求される身代金

要求される身代金の金額は300米ドル。600米ドルも当初の攻撃では確認されていた。(Kaspersky)
3日以内に支払いがなければ要求金額は倍に、7日以内に支払いがなければデータファイルは削除されると脅迫。
4月に確認された攻撃より約100米ドル安くなっている。(TrendMicro)

報告されている身代金振込先のBitcoinアドレス

Bitcoinアドレス	最終残高(5月14日0時時点)	取引回数
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94	4.62343159 BTC	30件
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn	3.10004389 BTC	27件
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw	6.17183571 BTC	33件
1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY	3.25249956 BTC	12件

WannaCry暗号化対象の拡張子

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

確認されているWannaCryの通信先

通信先	報告者
gx7ekbenv2riucmf.onion	Kaspersky
57gspsprrzlojinas.onion	Kaspersky
Xxlvbrloxvriy2c5.onion	Kaspersky
76jdd2ir2embyv47.onion	Kaspersky
cwwnhwhlz52maqm7.onion	Kaspersky
sqjolphimrr7jqw6.onion	Kaspersky
Rphjmrpwmfv6v2e.onion	McAfee

確認されているWannaCryの検体サンプル

Aavast	09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea4703480b1022c 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d 4A468603FDCB7A2EB5770705898CF9EF37AADE532A7964642ECD705A74794B79 B9C5D4339809E0AD9A00D4D3DD26FDF44A32819A54ABF846BB9B560D81391C25 d8a9879a99ac7b12e63e6bcae7f965fbf1b63d892a8649ab1d6b08ce711f7127 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
TrednMicro	043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa 11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49 16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab 190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e 201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41d 3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982 4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32 57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4 78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df 940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4d 9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977 a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740 b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0 b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4 b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9 dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85 fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a
Kaspersky	4fef5e34143e646dbf9907c4374276f5 5bef35496fcbdbe841c82f4d1ab8b7c2 775a0631fb8229b2aa3d7621427085ad 7bf2b57f2a205768755c07f238fb32cc 7f7ccaa16fb15eb1c7399d422f8363e8 8495400f199ac77853c53b5a3f278f3e 84c82835a5d21bbcf75a61706d8ab549 86721e64ffbd69aa6944b9672bcabb6d 8dd63adb68ef053e044a5a2f46e0d2cd b0ad5902366f860f85b892867e5b1e87 d6114ba5f10ad67a4131ab72531f02da db349b97c37d22f5ea1d1841e3c89eb4 e372d07207b4da75b3434584cd9f3450 f529f4556a5126bba499c26d67892240
McAfee	dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696 201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 aae9536875784fe6e55357900519f97fee0a56d6780860779a36f06765243d56 21ed253b796f63b9e95b4e426a82303dfac5bf8062bfe669995bde2208b360fd 2372862afaa8e8720bc46f93cb27a9b12646a7cbc952cc732b8f5df7aebb2450 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32 9cc32c94ce7dc6e48f86704625b6cdc0fda0d2cd7ad769e4d0bb1776903e5a13 78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df be22645c61949ad6a077373a7d6cd85e3fae44315632f161adc4c99d5a8e6844 5d26835be2cf4f08f2beeff301c06d05035d0a9ec3afacc71dff22813595c0b9 76a3666ce9119295104bb69ee7af3f2845d23f40ba48ace7987f79b06312bbdf fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb 043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2 57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4 ca29de1dc8817868c93e54b09f557fe14e40083c0955294df5bd91f52ba469c8 f7c7b5e4b051ea5bd0017803f40af13bed224c4b0fd60b890b6784df5bd63494 3e6de9e2baacf930949647c399818e7a2caea2626df6a468407854aaa515eed9 9b60c622546dc45cca64df935b71c26dcf4886d6fa811944dbc4e23db9335640 5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c 12d67c587e114d8dde56324741a8f04fb50cc3160653769b8015bc5aec64d20b 85ce324b8f78021ecfc9b811c748f19b82e61bb093ff64f2eab457f9ef19b186 3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301

WannaCryの各社の検体呼称

ベンダ	検出名
Microsoft	Ransom: Win32/WannaCrypt
TrendMicro	RANSOM_WANA.A、RANSOM_WCRY.I
Kaspersky	Trojan-Ransom.Win32.Gen.djd Trojan-Ransom.Win32.Scatter.tr Trojan-Ransom.Win32.Wanna.b Trojan-Ransom.Win32.Wanna.c Trojan-Ransom.Win32.Wanna.d Trojan-Ransom.Win32 .Wanna.f Trojan-Ransom.Win32.Zapchast.i PDM：Trojan.Win32.Generic
Symantec	Ransom.Wannacry Ransom.CryptXXX Trojan.Gen.8!Cloud Trojan.Gen.2
Fortinet	W32/Filecoder_WannaCryptor.B!tr W32/WannaCryptor.B!tr W32/Generic.AC.3EE509!tr W32/GenKryptik.1C25!tr
Sophos	Troj/Ransom-EMG

その他にも次の名称が用いられている。

Wanna Decryptor
WanaCrypt0r 2.0
WanaCrypt
WCry

過去確認されたWannaCryの事例対比

確認時期	要求金額	感染方法
2017年4月頃	400米ドル	メール、悪性サイトを通じて感染。Dropboxを悪用してファイルをダウンロード。
2017年5月頃	300米ドル～600米ドル	MS17-010で修正された脆弱性を通じて感染。

感染原因

正確な初期感染の経路は確認されていない模様。確定している感染経路はインターネット上にSMBのサービスが公開されているマシンに対して、Exploitが直接使用されるケース。(FOX IT)
4月14日にShadow Brokersが公開したExploit ツール「ETERNALBLUE」に関連する。

対策

(1) DoublePulserの感染確認をする

https://doublepulsar.below0day.com/

(2) セキュリティ更新プログラム「MS17-010」を適用する

2017年3月14日に公開されたセキュリティ更新プログラムを適用する。
MS17-010 Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)
サポートがすでに終了している次のOSの場合は、緊急で公開されたパッチを適用する。

OS	更新プログラム
Windows XP Windows Server 2003 Windows 8	緊急更新プログラム (KB4012598)
Windows Vista Windows Server 2008	MS17-010 (KB4012598)
Windows 7 Windows Server 2008 R2	MS17-010 (KB4012212:セキュリティのみ) (KB4012215:月例ロールアップ)
Windows 8.1	MS17-010 (KB412213:セキュリティのみ) (KB4012216:月例ロールアップ)
Windows Server 2012	MS17-010 (KB40122141:セキュリティのみ) (KB4012217:月例ロールアップ)
Windows Server 2012 R2	MS17-010 (KB4012213:セキュリティのみ) (KB4012216:月例ロールアップ)
Windows RT 8.1	MS17-010 (KB4012216:月例ロールアップ)
Windows 10	MS17-010 (KB4012606) (KB4013198) for ver1511 (KB4013429) for ver 1607
Windows Server 2016	MS17-010 (KB4013429)
Server Core インストールオプション	MS17-010 詳細省略