日本でも大企業をはじめとして多くの感染被害があったと伝えられているWannaCryランサムウェアですが、依然として謎なのが、誰がそれを作ったのかということ。米国の諜報機関 NSA が流出させた EternalBlueのコードを利用したという情報は早くからあったものの、それ以外の出どころに関する情報はあまり出てきていませんでした。

しかし、Googleのセキュリティ研究者Neel Mehtaが伝えたところによると、初期バージョンのWannaCryのコードには2015年にソニー・ピクチャーズのハッキングに使われたコードとの類似性があったとのこと。このハッキングの実行犯は北朝鮮のサイバー攻撃グループ「Lazarus」とされており、WannaCryにも北朝鮮が関与している可能性が出てきました。

もちろん、WannaCryを作った何者かが「北」のコードを拝借したということも十分にありえます。ただ、カスペルスキーのセキュリティ専門家は、新しいバージョンのWannaCryからは当該部分のコードが削除されており、意図的に取り除いたとすれば少なくとも北の関与の可能性が高いのではないかと推測しています。

また、WannaCryにはいずれのバージョンにも拡散を停止させるフラグ、いわゆるキルスイッチが含まれている一方で、身代金の入金を自動的に確認するしくみを備えていません。本当に金銭目的なのであれば、有効には機能していないと考えられます。むしろ業務停止などの被害拡大を狙う意図があるのかもしれません。

もちろん、記事執筆時点でわかっているのはいずれも状況証拠であり、北朝鮮の関与というのも研究者たちの推測の域を出ていません。ただ、北かどうかはともかくWannaCryの向こう側には組織的ななにかがある可能性のほうが高いとは言えそうです。

ちなみに、セキュリティ企業 Hemidal Securityの研究者はWannaCryからキルスイッチを取り除いた亜種Uiwixを発見したと発表しています。キルスイッチは、使われていないドメイン名を使う仕組みになっており、そのドメインを誰かが所有することで感染拡大を止めることができました。しかし、Uiwixではその手法が使えないことになります。とはいえ対策方法はこれまでどおりなので、慌てる必要はありません。

WannaCry騒ぎが沈静化したとしても、コンピュータに脆弱性があるかぎり、ランサムウェアを含む悪意のあるソフトウェアの危険性は常にあります。会社では権限の問題もあるものの、せめて自分が使うPCぐらいはしっかりとパッチを当て、最新の状態に保っておきたいものです。