ランサムウェアが世界で拡大、一旦沈静化も第2波に注意

■「ランサムウェア=身代金要求型ウイルス」が世界で拡大

 5月13日から世界規模で広がっている「ランサムウェア」によるサイバー攻撃。その被害は世界150カ国以上に及び、日本国内でも被害が確認されている。


 15日午後4時過ぎ、菅官房長官は「まず本日『日立製作所』から(サイバー攻撃の)症状とみられる障害がシステムの一部で生じた旨の報告を、内閣サイバーセキュリティーセンターが受けた」と会見を行った。


 日立製作所は、15日朝から国内外の拠点で電子メールが一部送受信できなくなり、添付ファイルが開けなくなるなどの障害が出ていることを明らかにしている。JR東日本も、12日にパソコン1台がサイバー攻撃の被害を受けた。原因は調査中とのことだが、サービスや鉄道運行に影響はないという。また、警察庁によると、茨城の総合病院と香川在住の女子学生の計2件の被害があったということだ。


 これらは、すべて「ランサムウェア」というウイルスによる攻撃である。ランサムウェアとはパソコンやスマートフォンをロックし、ファイルを暗号化するなどして使用不能にしたあと、元に戻すことと引き換えに「身代金」を要求する不正プログラム。「身代金要求型ウイルス」とも呼ばれている。


 実は、同様の被害は世界各地で広がっている。欧州警察機構のウェインライト長官は「このようなものは見たことがない。ランサムウェアがサイバー空間の脅威になっている。我々がこれまでに見たことがないもので国際的な広がりは、かつてない規模だ」とコメントした。また、イギリスメディアは、13日(日本時間)からランサムウェアによる大規模なサイバー攻撃が相次いだ問題で、「被害は少なくとも150カ国、20万件に及んでいる」と伝えている。


 被害が最も深刻だったイギリスでは、国営の医療制度のサーバーが標的とされ、一部の地域で予定していた手術や診療が出来なくなった。実際に手術を予定していた患者は「今回のコンピュータのハッキングで手術が出来なくなって、週末はここにいなければならない。家族と一緒にいられないからちょっとイライラしているよ」とコメントした。また、イギリス中部・サンダーランドにある日産自動車の工場でもシステム障害が起き、一時的に操業停止を余儀なくされたという。そのほか、アメリカのFedExでシステム被害、フランスではルノーの工場が一部操業停止となった。


■ランサムウェアはなぜ広がる?

 一連の攻撃では、マイクロソフトのOS「Windows」のセキュリティー上の欠陥が悪用されたとしている。被害を受け、マイクロソフト社は対策プログラムを公開。情報処理推進機構は「メールなどを通じてウイルスに感染するので、不審なファイルは開かないように」と注意喚起している。


 このランサムウェア「WannaCry」に感染すると、データが全て暗号化されたという旨の文とタイマーが表示され、ビットコインで300ドル支払うよう要求されるという。タイマーはカウントダウンしていく仕組みになっており、3日過ぎると要求金額が2倍に、7日過ぎても支払われない場合は暗号化されたデータが全て削除されるようになっているようだ。

 この問題について、ソフトバンク・テクノロジーのプリンシパルセキュリティリサーチャーである辻伸弘氏に話を聞いた。


 「お金を早く支払わせようとしており、とにかくお金が欲しいというのが狙いだと思う」と、犯行グループの意図について指摘。一方で、今回の事案を裁く法律があるのかについては、「コンピュータ犯罪をすると逮捕する国がほとんどだが、国をまたいでしまうと逮捕には及ばないケースもある」とのことだ。


 では、ランサムウェアを防ぐ方法はあるのか。


 辻氏によると、「穴が見つかってから対処するため、その隙にやられてしまう。いつも攻撃側が先手になってしまう」という。また、今回の経緯については、「ネットワークを介してセキュリティ上の穴・弱点を突いて感染を広げていく。やろうと思えば1人でもできてしまう。アンダーグラウンドのマーケットでは、歩合で第三者を動かせばどんどん規模は拡大していく」との見解も示した。さらに、取引する相手が見えないビットコインを振込みに使っている点も、足がつかない理由になっているという

 今回の感染経路に関して、セキュリティ会社のトレンドマイクロでは、


1.脆弱性を利用して侵入

2.サービスプロセスとして不正なファイルを実行

3.実際のランサムウェアとして振る舞う不正なファイルを作成

4.脅迫状の表示

5.ファイルの暗号化

という流れで感染が起こると説明している。


■ランサムウェアに感染した後にとるべき行動は?

 感染が拡大するイギリスではどのような展開になっているのか。ロンドン在住のジャーナリスト・小林恭子氏によると、「発生から数時間してあるサイバーの分析家の青年が感染を止めた。第1波は収まった状態で、2回目の波はきていない。なぜ病院なのか。なぜイギリスなのか。なぜ欧州なのかというのは分析がされている」という。


 また、これから国が取るべき対策や動きについて、「結局交通安全と同じかなと思う」と話すのは辻氏。「どれだけルールを作っても、安全な車を使っても、お酒を飲んだら意味がない。それと同じだと思うので、底上げをしつつ、国としてどうするか考えていかなければならない時期に来ていると思う」と語った。

 では、実際に「怪しいメール」を開いた場合はどのように動けばよいのか。次のような対策が推奨されている。


1.ネット環境の遮断→LANケーブルは抜く、WiFiは遮断※シャットダウンはダメ

2.セキュリティ部門に連絡

3.大声で周囲に周知する


 辻氏によると、シャットダウンがダメな理由として「感染した痕跡が消えてしまって調査ができなくなってしまう。また、再起動すると自動的に消えてしまうウイルスもある」と話す。また、メールの添付ファイル等だけでなく、ツイッターのリンクを踏ませることでウイルスに感染させようとするものもあるというから、感染時の対応には注意が必要だ。


 なお、これからのサイバー攻撃について辻氏は「一旦沈静化している状況なので、違う方法で攻撃してくるかもしれない」と注意を促した。(AbemaTV/AbemaPrimeより)

続きを見る

0コメント

  • 1000 / 1000