ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2017-05-13

世界各地で発生したランサムウェア WannaCry 2.0 の感染事案についてまとめてみた

| 03:32 |  世界各地で発生したランサムウェア WannaCry 2.0 の感染事案についてまとめてみたを含むブックマーク

2017年5月12日頃から、世界各地でランサムウェア感染する被害が相次いで報告されています。ランサムウェアはWannaCry 2.0等と名前が付けられているもので、これに感染する原因として、Windows脆弱性、及びその脆弱性を用いたNSAが開発したツールが関係している可能性があると各国のCSIRTやセキュリティベンダが注意喚起等を公開しています。Microsoftは今回の感染事案を受け、WindowsXPなどのサポートが切れたOSを対象とした緊急の更新プログラムも公開しました。

ここではこの世界中で発生したランサムウェア WannaCry の感染被害などについてまとめます。

インシデントタイムライン

日時出来事
2016年9月16日MicrosoftSMBv1の使用停止を強く推奨する記事を公開。
2017年1月16日US-CERTがSMBv1の無効化を含むSMBのセキュリティにおけるベストプラクティスを公開。
2017年3月14日Microsoftセキュリティ情報 MS17-010を公開。
2017年4月14日Shadow BrokersがETERNALBLUEなどを含む様々なExploitを公開。
同日MicrosoftShadow Brokersが公開したExploitはいずれも修正済みだと報告。
2017年4月25日DropboxURLを悪用したWannaCryが確認されているとしてTrendMicroが情報を公開
2017年5月12日 17時頃WannaCry 2.0の感染キャンペーンが開始された模様。
同日MS17-010で悪用された脆弱性を通じてWannaCry 2.0が世界規模で拡散されていると多数の報道
同日MicrosoftRansomwareによる攻撃への声明を公開。サポート終了済のOSにも緊急パッチを公開。

注意喚起等

感染被害件数

国内メディアが報じている被害件数
報道被害国被害件数
NHK*199か国7万5000件以上
読売*299か国約7万5000件
朝日*3約100か国
毎日*499か国7万5000件
産経*5約100か国5万7000件
日経*699か国約7万5000件
共同通信*799か国7万5000件
時事通信*874か国⇒99か国4万5000件以上⇒7万5000件以上
セキュリティベンダが発表している被害件数
報告元被害国被害件数
Avast57か国⇒104か国5万7000件⇒12万6000件
Kaspersky74か国4万5000件以上
FOX IT17万以上

国別の感染被害状況

被害が出たと報じられている国
日本国内の被害の状況
  • 日本での被害はTrendMicro、Kasperskyの2社がセキュリティ対策ソフトで検知した件数を集計を通じて攻撃の発生を確認している。実際に感染被害が出ているかどうかは不明。*9
  • 警察庁が各都道府県警を通じて情報収集を行っている。5月13日午前中時点で日本政府や企業などでの被害は確認されていない。*10
  • NISCはTwitterを通じて、5月13日21時時点で国内での大きな被害報告が入っていないことを明らかにした。

感染被害の具体的事例

英国:NHS(国民保健サービス)
  • Statement on reported NHS cyber attack
  • NHSが直接の標的として狙われた攻撃ではない。NHS関連病院の大半のマシンはまだWindows XPが用いられている模様。(Foursys)
  • 感染したマルウェアRansomware「Wanna Decryptor」だと確信していると声明。
  • NHSより提供されていたシステムが一部地域で停止する事態となった。これにより次のような影響が生じた。
    • システムがロックアウトされ、患者のファイルなどを確認することが出来なくなった。手書きによる事務に切り替えた。
    • 複数の医療機関診療が行えなかった。
    • レントゲン撮影を行うことが出来なくなった。
    • 予定されていた心臓手術が中止となった。
    • 救急搬送された患者を受け入れられず救急車の行先変更が必要となった。
    • 急患以外は受信に来ないよう呼びかけが行われた。*11
  • NHSに登録された患者情報がアクセスされたとの情報は現時点で確認されていないとNHS担当者はコメント。*12
  • 英国は少なくとも36の病院が影響を受けた。またスコットランドウェールズ等の病院には影響は及ばなかった模様。名前が挙がっている場所は次の通り。*13
    • NHS Glasgow
    • NHS Lanarkshire
    • NHS Dumfries and Galloway
    • NHS Forth Valley
    • NHS Tayside
    • NHS Western Isles
    • NHS Borders
    • NHS Fife
    • NHS Ayrshire and Arran
    • NHS Grampian
    • NHS Highland
  • 英国保健当局は今回のこの事態を重大な事件として警告した。
  • 英国内務長官は45の公衆衛生機関が影響を受けたと述べた。*14
  • NHS内のマシンの9割はWindowsXPが使い続けられていた。
英国日産サンダーランド自動車工場
  • 被害の具体的な状況は不明。13日現在復旧中。*15
  • 地元紙によれば自動車生産が一時的に止まるなどして影響が生じた模様。
  • 日産広報担当者はこの事案によるビジネス上の影響はないと説明している。
  • 日産は他国の工場にも同様の被害がないか調査を進めている。
  • 同工場では年間約50万台の車を生産している。*16
ロシア内務省
  • 内務省内のPC約1000台が攻撃を受けた模様。同省で使用されるマシン数全体の約1%未満。
ロシア:MegaFon
スペインテレフォニカ
フランスルノー
  • スロベニアのノボメストの子会社 Revoz本社のマシンが影響を受けた。
  • これにより12日夜に生産ラインの稼働が停止し、13日も停止したままの状態となった。*18
その他影響を受けたとして名前が挙げられていた被害組織

その他感染報告ツイート

感染するランサムウェア「WannaCry」の詳細

感染対象のマシン
ドロッパーの挙動・特徴

hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

  • 「mssecsvc2.0」という名称のサービスを作成する。このサービスを通じて他のマシンへ感染をしようとする。これにはSMBの脆弱性が悪用される。(Microsoft)
ランサムウェア「WannaCry」の挙動・特徴
  • 166種類の拡張子を対象に暗号化を行う。
  • 暗号化したファイルには「.WNCRY」という文字列をファイル名末尾に追加する。
  • 暗号化処理が完了すると、ボリュームシャドーコピーの削除を行う。
  • デスクトップの背景画像を暗号化したことを示すメッセージを含めたものに変更する。
  • 身代金要求の詳細と期限を示すタイマーを表示する。
  • 4月に確認された際は、Dropboxを通じて撒かれていたことからTorrentLockerの亜種と分析されていた。(TrendMicro)
ワームの挙動・特徴
要求される身代金
  • 要求される身代金の金額は300米ドル。600米ドルも当初の攻撃では確認されていた。(Kaspersky)
  • 3日以内に支払いがなければ要求金額は倍に、7日以内に支払いがなければデータファイルは削除されると脅迫。
  • 4月に確認された攻撃より約100米ドル安くなっている。(TrendMicro)
  • 報告されている身代金振込先のBitcoinアドレス
Bitcoinアドレス最終残高(5月14日0時時点)取引回数
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb944.62343159 BTC30件
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn3.10004389 BTC27件
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw6.17183571 BTC33件
1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY3.25249956 BTC12件
WannaCry暗号化対象の拡張子

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
確認されているWannaCryの通信
通信報告者
gx7ekbenv2riucmf.onionKaspersky
57gspsprrzlojinas.onionKaspersky
Xxlvbrloxvriy2c5.onionKaspersky
76jdd2ir2embyv47.onionKaspersky
cwwnhwhlz52maqm7.onionKaspersky
sqjolphimrr7jqw6.onionKaspersky
Rphjmrpwmfv6v2e.onionMcAfee
確認されているWannaCryの検体サンプル
Aavast09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea4703480b1022c
2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd
2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d
4A468603FDCB7A2EB5770705898CF9EF37AADE532A7964642ECD705A74794B79
B9C5D4339809E0AD9A00D4D3DD26FDF44A32819A54ABF846BB9B560D81391C25
d8a9879a99ac7b12e63e6bcae7f965fbf1b63d892a8649ab1d6b08ce711f7127
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
TrednMicro043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2
09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49
16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab
190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e
201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9
2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41d
3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301
4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32
57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4
78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df
940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4d
9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977
a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740
b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0
b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4
b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb
f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a
Kaspersky4fef5e34143e646dbf9907c4374276f5
5bef35496fcbdbe841c82f4d1ab8b7c2
775a0631fb8229b2aa3d7621427085ad
7bf2b57f2a205768755c07f238fb32cc
7f7ccaa16fb15eb1c7399d422f8363e8
8495400f199ac77853c53b5a3f278f3e
84c82835a5d21bbcf75a61706d8ab549
86721e64ffbd69aa6944b9672bcabb6d
8dd63adb68ef053e044a5a2f46e0d2cd
b0ad5902366f860f85b892867e5b1e87
d6114ba5f10ad67a4131ab72531f02da
db349b97c37d22f5ea1d1841e3c89eb4
e372d07207b4da75b3434584cd9f3450
f529f4556a5126bba499c26d67892240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の各社の検体呼称
ベンダ検出名
MicrosoftRansom: Win32/WannaCrypt
TrendMicroRANSOM_WANA.A、RANSOM_WCRY.I
KasperskyTrojan-Ransom.Win32.Gen.djd
Trojan-Ransom.Win32.Scatter.tr
Trojan-Ransom.Win32.Wanna.b
Trojan-Ransom.Win32.Wanna.c
Trojan-Ransom.Win32.Wanna.d
Trojan-Ransom.Win32 .Wanna.f
Trojan-Ransom.Win32.Zapchast.i
PDM:Trojan.Win32.Generic
SymantecRansom.Wannacry
Ransom.CryptXXX
Trojan.Gen.8!Cloud
Trojan.Gen.2
FortinetW32/Filecoder_WannaCryptor.B!tr
W32/WannaCryptor.B!tr
W32/Generic.AC.3EE509!tr
W32/GenKryptik.1C25!tr
SophosTroj/Ransom-EMG

その他にも次の名称が用いられている。

  • Wanna Decryptor
  • WanaCrypt0r 2.0
  • WanaCrypt
  • WCry
過去確認されたWannaCryの事例対比
確認時期要求金額感染方法
2017年4月頃400米ドルメール、悪性サイトを通じて感染Dropboxを悪用してファイルをダウンロード
2017年5月頃300米ドル〜600米ドルMS17-010で修正された脆弱性を通じて感染

感染原因

  • 正確な初期感染の経路は確認されていない模様。確定している感染経路はインターネット上にSMBのサービスが公開されているマシンに対して、Exploitが直接使用されるケース。(FOX IT)
  • 4月14日にShadow Brokersが公開したExploitツール「ETERNALBLUE」に関連する。

対策

(1) DoublePulserの感染確認をする
(2) セキュリティ更新プログラム「MS17-010」を適用する
OS更新プログラム
Windows XP
Windows Server 2003
Windows 8
緊急更新プログラム (KB4012598)
Windows Vista
Windows Server 2008
MS17-010 (KB4012598)
Windows 7
Windows Server 2008 R2
MS17-010 (KB4012212:セキュリティのみ)
(KB4012215:月例ロールアップ)
Windows 8.1MS17-010 (KB412213:セキュリティのみ)
(KB4012216:月例ロールアップ)
Windows Server 2012MS17-010 (KB40122141:セキュリティのみ)
(KB4012217:月例ロールアップ)
Windows Server 2012 R2MS17-010 (KB4012213:セキュリティのみ)
(KB4012216:月例ロールアップ)
Windows RT 8.1MS17-010 (KB4012216:月例ロールアップ)
Windows 10MS17-010 (KB4012606)
(KB4013198) for ver1511
(KB4013429) for ver 1607
Windows Server 2016MS17-010 (KB4013429)
Server Core インストールオプションMS17-010 詳細省略
回避策

Microsoftから回避策として次の方法が紹介されている。

対応するSnortルール
  • 42329-42332、42340、4197

セキュリティ関連組織のレポート

その他関連記事等

更新履歴

*1世界各地で大規模サイバー攻撃 7万5000件以上,NHK,2017年5月14日アクセス

*299か国にサイバー攻撃、英で診療や手術中止も,読売新聞,2017年5月14日アクセス

*3「ウィンドウズ」狙ったサイバー攻撃 被害100カ国に,朝日新聞,2017年5月14日アクセス

*4サイバー攻撃 ランサムウエア NSAのソフト技術利用か,毎日新聞,2017年5月14日アクセス

*5世界100カ国でサイバー攻撃 7万5000件超 英国病院で大規模被害、日本も,産経ニュース,2017年5月13日アクセス

*6大規模サイバー攻撃、99カ国で被害 身代金要求型,日本経済新聞,2017年5月14日アクセス

*7世界99カ国でサイバー攻撃 7万件超、日本も被害か,共同通信,2017年5月13日アクセス

*874カ国で大規模サイバー攻撃=4万5000件、日本も被害か,時事通信,2017年5月14日アクセス

*9日本でもサイバー攻撃確認 世界の被害最大規模か,共同通信,2017年5月14日アクセス

*10大規模サイバー攻撃、日本国内で確認されず ,日本経済新聞,2017年5月14日アクセス

*11イギリス各地で国営の病院にサイバー攻撃,NHK,2017年5月14日アクセス

*12複数の英病院にランサムウエア攻撃、被害は世界に,CNN,2017年5月14日アクセス

*13英病院にサイバー攻撃 病院業務に支障,産経ニュース,2017年5月14日アクセス

*14Huge Cyberattack Hits Nearly 100 Countries With ‘Wanna Decryptor’ Malware,NBC,2017年5月14日アクセス

*15英の日産自動車工場も被害 サイバー攻撃、生産に影響,共同通信,2017年5月13日アクセス

*16大規模サイバー攻撃、日系企業にも影響 日産英国工場,日本経済新聞,2017年5月14日アクセス

*17世界各国で大規模サイバー攻撃 病院や大手企業が被害,AFP通信,2017年5月14日アクセス

*18仏自動車大手ルノーも世界的なサイバー攻撃の被害に,AFP通信,2017年5月14日アクセス