安心相談窓口だより

WannaCryptorの相談事例から学ぶ一般利用者が注意すべきセキュリティ環境

5月15日からの数日間、IPAの安心相談窓口宛にWannaCryptor というランサムウェアに関する相談が多数寄せられました。^(*1) WannaCryptorはネットワークを介して攻撃パケット^(*2)を送出することで感染拡大を図る^(*3)という特徴が、従来のランサムウェアには無い機能であったことからIPAでも注視していました（図1）。また、6月27日には海外でPetyaというOSを読み込む領域を破壊するランサムウェアの感染被害^(*4)が報道されました。このPetyaもネットワークを介して感染拡大を図る機能を有していたことが確認されています。

これまでのランサムウェアの感染経路は主にメールやウェブサイトでした。しかし、今後はWannaCryptorやPetyaのような、新たに出現したネットワーク上に攻撃パケットを送出して感染拡大を図る手口により、更なる被害の発生^(*5)も考えられます。そのため、IPAに寄せられたWannaCryptorに関する相談事例から、被害に遭わないために一般利用者が注意すべきセキュリティ環境について紹介します。

 

(※1)

【緊急対策】世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html
IPAに寄せられているランサムウェアの相談について
https://www.ipa.go.jp/security/anshin/mgdayori20170515.html

(※2)

利用するネットワークに適したサイズに分割された通信データの単位。

(※3)

YouTube：ランサムウェア「WannaCry (WannaCryptor)」感染実演デモ
https://www.youtube.com/watch?v=duN9dYG4q3s

(※4)

感染が拡大中のランサムウェアの対策について
https://www.ipa.go.jp/security/ciadr/vul/20170628-ransomware.html

(※5)

警察庁：ランサムウェア「WannaCry」の亜種に感染したPCからの感染活動と見られる445/TCPポート宛てアクセスの観測について
https://www.npa.go.jp/cyberpolice/important/2017/201706221.html

IPAに寄せられた相談において、WannaCryptorの感染被害に遭ったという一般利用者の宅内パソコンには、以下のような共通点が見られました。

1. Windows Updateが長期間未実施であった。（脆弱性が存在する）
2. ファイアウォール^(*6)の設定が無効になっていた。（特定ポートを公開したままにしている）
3. ルーターを経由せず、パソコンが直接インターネットに接続されていた。（インターネットから宅内パソコンに直にアクセスができる）

上記の条件をすべて満たす環境である場合、パソコンをインターネットに接続しているだけでWannaCryptorの感染被害に遭う恐れがあり、実際、不審なメールの添付ファイルを開いたなどの操作をしていないにも関らず、気付いたらWannaCryptorに感染していたという相談が複数ありました。

寄せられた相談の共通点は上記に挙げた通りでしたが、どうしてこの様な環境設定となっていたのかは、利用者自身にもよく判らないというものでした。このように、利用者自身が設定環境を認識せず被害に遭うことのないよう、図1で示した宅内のパソコンのセキュリティ環境に対して、以下に説明する（1）～（3）の対策の実施を推奨します。

「Windows UpdateによってWindows 10にアップグレードされてしまうことを防ぐため、Windows Updateの自動更新を昨年から停止していた」という複数の相談が寄せられていました。このことから、マイクロソフト社のアップグレードキャンペーンが終了した後も自動更新に設定を戻さなかったことで、WannaCryptorが悪用する脆弱性が解消されずに、被害に至ったものと考えられます。

また、何らかの理由によりWindows Updateが失敗していることもありますので、定期的にコントロールパネルを開き、Windows Updateが適切に更新されているか（最新の状態となっているか）を確認してください（図2）。

WannaCryptorは特定ポートへの攻撃パケットで感染拡大を図りますが、この通信は通常Windowsファイアウォールによってブロックされる対象となっています。「特にWindowsファイアウォールを無効にした覚えはない」という相談もあり、無効となっていた具体的な原因は判明しませんでした。しかし、Windowsファイアウォールを有効にすることで、他に利用するソフトやサービスによっては正常に動作しなくなるということがあるため、その対処において結果的にWindowsファイアウォールが無効となっていたなどの可能性が考えられます。

Windowsファイアウォールの設定が有効かどうかの確認は、コントロールパネルで行います（図3）。なお、セキュリティソフト等のファイアウォール機能を利用している場合は、Windowsファイアウォールを有効にすることでセキュリティソフト等が正常に動作しなくなる（そのために無効に設定されている）可能性があります。詳細はセキュリティソフトベンダーのサポート窓口へお問い合わせください。

ルーターを経由せずにインターネットに接続している場合、宅内のパソコンは直接インターネットに接続している（グローバルIPアドレスが割り当てられる）ことになります。この場合、インターネット上の別の機器から直接アクセスが可能であるため、WannaCryptorの攻撃パケットを受信してしまう恐れがあります。実際、VDSL^(*7)接続のマンションで直接インターネットに接続しているパソコンがWannaCryptorの被害に遭ったという相談がありました。

一方、ルーター経由でインターネットに接続している（プライベートIPアドレスが割り当てられる）場合、そのパソコンはインターネット上の別の機器からアクセスされることはありません。よって、WannaCryptorの攻撃パケットをはじめ、パソコンが外部からの攻撃を受けることはありません。グローバルIPアドレスが割り当てられるネットワーク環境を利用している場合は、ルーターを導入することを強く推奨します。^(*8)

なお、現在のネットワーク環境がルーターを経由した接続なのかを確認するには、次のような方法でパソコンのIPアドレス（プライベートIPアドレスが割り当てられているか）を確認することができます。

 

(※7)

既存の電話回線を利用してインターネットとの高速通信を実現する接続方式。集合住宅のインターネット接続環境として用いられることがある。

(※8)

JPCERT/CC：グローバルIPアドレスが割り当てられたPCやサーバに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170023.html
日本サイバー犯罪対策センター：グローバルIPアドレスを直接割り当てられたPCのセキュリティ対策について
https://www.jc3.or.jp/topics/gip_sec.html

なお、WannaCryptorのような感染拡大を図る機能は有していないものの、新しいランサムウェアに感染したという相談が寄せられています。上述した対策だけでなく、「メールの添付ファイルを不用意に開かない」、「重要なデータは定期的にバックアップする」といった従来の基本的なランサムウェアの対策も忘れずに実施してください。

アンケートのお願い

　 よろしければ今後のサービス向上を図るため、「安心相談窓口だより - WannaCryptorの相談事例から学ぶ一般利用者が注意すべきセキュリティ環境」に関するアンケートにご協力ください。

＞ アンケート画面へ