ランサムウェアへの注意喚起 岡山 (欧州や日本を含む150ヵ国 岡山でも被害) 
ランサムウュエア PC

ランサムウェア対策のポイント
 欧州や日本を含む150ヵ国の世界各地でランサムウェアによる被害が拡大しています。
 セキュリティ対策を実施し、被害にあわないように努めてください。
 
 
ポイント
 ○脆弱性の解消
  OSやアプリケーションを更新し最新の状態にする
 ○ウイルス対策ソフト
  ウイルス対策ソフトの導入及び更新
 ○不審なメール
  不審なメールの添付ファイルの開封やリンクのアクセスをしない
 ○データのバックアップ
  定期的にバックアップをとる

/////

サイバー攻撃、国内2千台が感染 民間団体が分析

米マイクロソフトの「ウィンドウズ」を使うコンピューターを狙った世界的なサイバー攻撃に関し、週明けの15日、国内でも企業や自治体でメールの送受信の障害などが明らかになった。サイバー攻撃対策を支援する専門機関の分析では被害は約2千台に上り、さらに広がる可能性がある。


 今回のウイルスは「ランサムウェア(身代金ウイルス)」と呼ばれ、パソコンやサーバーが感染するとデータが使えなくなり、元に戻すのに「身代金」を要求される。一般社団法人「JPCERTコーディネーションセンター」(東京)によると、世界で被害が相次いだ13日午前0時から約12時間分のデータを分析したところ、国内での感染は約2千台だった。担当者は「被害はそれ以上出ていると考えるべきだ」と話す。

 日立製作所によると、国内外の社内システムで、メールの送受信の遅れや添付ファイルが開けないといった障害が広範囲に発生。家電量販店などからの発注が受けられず、日立総合病院(茨城県)でもメールシステムに支障が出た。診察に影響はなかった。

 川崎市でも上下水道局のパソコン1台が感染。外部とのメールなどの送受信専用で、15日朝に出勤した職員が起動すると、身代金を要求する画面が出た。パソコンを交換し、業務に支障はなかった。JR東日本でも高崎支社のパソコン1台が感染したが、社内ネットワークに接続されておらず、列車の運行などに影響はなかったという。

 警察庁は15日、国内で新たに5件の被害が確認されたと発表した。同庁が把握した被害は7件となり、茨城県の病院と群馬県の企業、東京、滋賀、岡山、福岡、香川の各都県の個人に及んだ。同庁は世界各地のサイバー攻撃と同一とみている。警察庁の7件は被害者の相談や届け出に基づくもので、ネット上でウイルスの感染状況を観測したJPCERTの約2千台とは大きな差が出てしまう。

 日産自動車でも12日夕、英サンダーランド工場の情報システムがサイバー攻撃に遭ったが、週末は操業していないため影響は小さかったという。週明けの15日から通常生産に戻った。

 イオンと西友も、サイバー攻撃の報道を受けて社内システムを点検したが、問題がないことを確認した。大阪市ではホームページが一時、システム障害で閲覧できなくなったが、市によるとウイルスの痕跡はなく、サイバー攻撃ではないと判断しているという。

■政府が情報連絡室

 政府は、内閣サイバーセキュリティセンター(NISC)と警察庁を中心に対応。国際企業である日立製作所からNISCに被害報告があったため、他国との連携も考えて、15日昼に首相官邸の危機管理センターに情報連絡室を設置した。

 ただ、菅義偉官房長官は同日午後の記者会見で、国内の被害状況について「大きくはなっていない」と述べ、被害が拡大する可能性についても「現時点では懸念は持っていない」という認識を示した。

<問い合わせ先>

・マイクロソフト 0120―54―2244

 午前9時(土日は午前10時)から午後6時まで、祝日休み

・JPCERTコーディネーションセンター(企業や組織を対象)

 info@jpcert.or.jpにメール

・ウイルス対策ソフトの販売各社

 利用者向けホームページに問い合わせ欄あり

/////
「ランサムウェア」被害150カ国で 「警鐘」とマイクロソフト



12日から世界中に広がり始めたサイバー攻撃は、すでに150カ国で被害をもたらしている。マイクロソフトの基本ソフト(OS)ウィンドウズの欠陥を悪用する最新ウイルス攻撃についてマイクロソフトは14日、各国政府は「警鐘」として受け止めるべきだと対応を促した。
感染したコンピューターシステムの利用者情報を盗み、アクセスを妨害し、仮想通貨ビットコインで「身代金(ランサム)」を払うよう脅す「ランサムウェア」は、これまでに20万台以上のコンピューターに影響を与えたとみられている。
週末にかけてセキュリティ対策が次々と導入されたことで感染拡大は徐々に鈍化したものの、月曜日になり世界中で大勢が職場に戻るのを機に、あらためてランサムウェア攻撃が拡大するのではないかと懸念されている。
ウィンドウズの脆弱性(ぜいじゃくせい)については、最初に米国家安全保障局(NSA)が発見し、ランサムウェアのもととなる攻撃プログラムを開発。これが漏洩し、今回のマルウェア(有害なソフトウェアやコード)のもととなった。
これを受けてマイクロソフトのブラッド・スミス社長兼最高法務責任者は、コンピューターシステムの欠陥について政府が情報を秘匿(ひとく)するやり方を批判した。
「米中央情報局(CIA)が保存していた脆弱性が、(告発サイト)ウィキリークスに登場することもあった。今回はNSAから脆弱性が盗まれ、世界中の顧客に影響を与えている」とスミス氏は書いた。
「通常兵器でたとえるなら、米軍がトマホークミサイルを盗まれたと同じ展開だ」とスミス氏は批判し、「世界中の政府はこの攻撃を、警鐘として受け止めるべきだ」と促した。
マイクロソフトはOSの脆弱性に対応するセキュリティー・パッチを3月に公表したが、インストールしていない利用者が多かったと説明している。
「サイバー犯罪者の手法がどんどん高度になるに伴い、利用者はシステムを更新しない限り、自分を守りようがない」とスミス氏は指摘した。


「身代金ウイルス」攻撃、なぜ大規模に? 欧州捜査当局トップに聞く
応急処置
欧州刑事警察機構(ユーロポール)のロブ・ウェインライト長官はBBCに対して、ランサムウェアは「コンピューター1台が感染するとネットワークでたちまち広がるよう」設計されていると説明。「このため感染規模がどんどん拡大している」と話した。
週末にかけて導入された応急処置で感染のペースは鈍化したが、攻撃側はすでにウイルスの改良型を投入したと長官は説明している。
英国のコンピューターセキュリティー研究者で、「マルウェアテック」という通称を使う専門家は、週末にかけて、ウィルスの拡散をたどるためドメインを購入して登録した結果、これがウィルスの停止機能を作動させ、結果的にウィルスの拡散を部分的にせき止めた。このため「偶然の英雄」と称えられている「マルウェアテック」さんは、「次の攻撃がある(略)おそらく月曜に」と警告する。「マルウェアテック」さんは、今後も匿名のままでいたいと希望している。
サイバー攻撃開始から数時間の間に被害は広がり(図参照)、英国では国民保健サービス(NHS)のシステムが停止したため、61カ所の医療施設が影響を受け、治療や手術が中止を余儀なくされた。米国では、運送大手フェデックスのシステムが被害に遭い、フランスでは自動車大手ルノーの工場が一部操業を停止。スペインでは通信大手テレフォニカやガス会社が、ドイツではドイツ鉄道がそれぞれ影響を受け、ロシアでは内務省のコンピューター1000台が影響を受けたという。
今回のサイバー攻撃の影響を受けた国(緑)
Image caption
今回のサイバー攻撃の影響を受けた国(緑)
英国のサイバーセキュリティー会社「ディジタル・シャドウズ」のベッキー・ピンカード氏はAFP通信に対して、攻撃を仕掛けた勢力やその模倣犯たちはウィルスのコードを簡単に書き換えられるので、防衛は難しいと話した。
「新しい攻撃が15日になかったとしても、それから間もなくあると思っていた方がいい」
//////

WannaCryランサムウェアから北朝鮮ハッカーのコード見つかる。断定は時期尚早も、背景には国家的な関与?
「キルスイッチ」のない亜種も発見

 
日本でも大企業をはじめとして多くの感染被害があったと伝えられているWannaCryランサムウェアですが、依然として謎なのが、誰がそれを作ったのかということ。米国の諜報機関 NSA が流出させた EternalBlueのコードを利用したという情報は早くからあったものの、それ以外の出どころに関する情報はあまり出てきていませんでした。

しかし、Googleのセキュリティ研究者Neel Mehtaが伝えたところによると、初期バージョンのWannaCryのコードには2015年にソニー・ピクチャーズのハッキングに使われたコードとの類似性があったとのこと。このハッキングの実行犯は北朝鮮のサイバー攻撃グループ「Lazarus」とされており、WannaCryにも北朝鮮が関与している可能性が出てきました。

もちろん、WannaCryを作った何者かが「北」のコードを拝借したということも十分にありえます。ただ、カスペルスキーのセキュリティ専門家は、新しいバージョンのWannaCryからは当該部分のコードが削除されており、意図的に取り除いたとすれば少なくとも北の関与の可能性が高いのではないかと推測しています。

また、WannaCryにはいずれのバージョンにも拡散を停止させるフラグ、いわゆるキルスイッチが含まれている一方で、身代金の入金を自動的に確認するしくみを備えていません。本当に金銭目的なのであれば、有効には機能していないと考えられます。むしろ業務停止などの被害拡大を狙う意図があるのかもしれません。

もちろん、記事執筆時点でわかっているのはいずれも状況証拠であり、北朝鮮の関与というのも研究者たちの推測の域を出ていません。ただ、北かどうかはともかくWannaCryの向こう側には組織的ななにかがある可能性のほうが高いとは言えそうです。

ちなみに、セキュリティ企業 Hemidal Securityの研究者はWannaCryからキルスイッチを取り除いた亜種Uiwixを発見したと発表しています。キルスイッチは、使われていないドメイン名を使う仕組みになっており、そのドメインを誰かが所有することで感染拡大を止めることができました。しかし、Uiwixではその手法が使えないことになります。とはいえ対策方法はこれまでどおりなので、慌てる必要はありません。

WannaCry騒ぎが沈静化したとしても、コンピュータに脆弱性があるかぎり、ランサムウェアを含む悪意のあるソフトウェアの危険性は常にあります。会社では権限の問題もあるものの、せめて自分が使うPCぐらいはしっかりとパッチを当て、最新の状態に保っておきたいものです。
//////
[緊急企画]ランサムウェア「WannaCry」実際に感染してみた —— 対策もチェック

WannaCryの日本語脅迫画面。自動翻訳を使ったような文章で、PCの環境に合わせて28ヶ国語のファイルが用意されている。
提供:辻伸弘氏
先週金曜日からイギリス・スペインなど全世界で大流行しているランサムウェア・WannaCry(ワナクライ)。日本でも15日月曜日から続々と被害が報告されている。
ランサムウェアとはコンピュータウイルスの一種で「身代金要求型ウイルス」とも言われている。今回のランサムウェア・WannaCryでは、パソコンのファイルを暗号化して読めなくし「元に戻すには300ドル払え」と脅してくるものだ。WannaCryをテスト実行するデモを、ソフトバンク・テクノロジーのセキュリティリサーチャー・辻伸弘さんに見せてもらった。安全な仮想環境でテストとして動作させている。
ランサムウェア「WannaCry」に感染させてみる
辻さん「仮想環境で入手した検体(ウイルスのサンプル)を動かしてみます。実行すると1分ほどで壁紙が変わります。」
ランサムウエアよって強制的に変えられたデスクトップの壁紙
WannaCry感染直後のWindows壁紙。黒バックに赤字で、ファイルを暗号化した警告を出している。
提供:辻伸弘氏
ランサムウェアをダブルクリックして1分弱(環境によって時間は異なる)、Windowsの壁紙が突然、黒に変わった。黒バックに赤の大きな文字で「Ooops, your important files are encrypted(あなたの重要なファイルは暗号化された)」と書かれている。
その次に出てくるのがランサムウェアの脅迫文だ。なんと日本語(!)で、「私のコンピュータに何が起こったのですか?」「ファイルを回復できますか?」などの見出しで、暗号化したこと、戻すためには300ドルを払う必要があること、3日経つと2倍の600ドルになること、7日間支払いがないと二度と回復できなくなること、などの脅迫文が表示されている。
日本語で書かれているのは、ランサムウェア側で感染したPCの言語環境をチェックして、自動的に表示言語を選択しているためだ。辻さんによれば「28カ国語の言語ファイルが用意されており、実行時にPC環境に合わせて言語を変えている」とのことだ。
そして左側にはカウントダウンタイマーが表示されている。2倍になるまで3日間のタイマーと、ファイルが失われるまでの7日間のタイマーだ。金を払えと脅すためのビジュアルである。データに対する身代金は、ビットコインで払えと表示されている。ランサムウェアの身代金支払いにビットコインがよく使われているのは、匿名性の高い通貨であるためだ。
辻さん「仮想環境に入れたテスト用のファイルを見てみます。ご覧の通り、画像・テキスト・オフィスなどのファイルの拡張子(ファイルを表す末尾の文字)が『.WNCRY』というものに変わりました。すべて暗号化されてしまったわけです。テキストファイルをエディターで開いても、文字化けした内容が見えるだけです。WannaCryでは文書・動画・画像など166種類のファイルを暗号化しています」。
ランサムウエアによって改ざんされたファイル
WannaCry感染後のデータファイル。画像・テキスト・オフィスなどのファイルが暗号化され、拡張子が「.WNCRY」に変更されている。
提供:辻伸弘氏
脅迫に屈してすでに身代金を払った人も
現状では暗号化され読めなくなったファイルを安全に戻す方法はない。バックアップがあればそれを使い、パソコンを初期化するしかない状況だ。
脅迫に屈して、犯人側にビットコインを支払うという選択肢はある。セキュリティ会社・トレンドマイクロのテストによれば「WannaCryにはお試しという形で、ファイルを一つだけ元に戻せる機能が入っており、これで元に戻せることは確認した」とのこと。犯人側はファイルを元に戻せることをアピールして、身代金を払わせようという魂胆で「無料お試し」を用意している。
しかし相手は犯罪者なのだから、すべて元に戻せる保証はない。また金を払うと、犯罪者に加担することにもなる。そのため身代金を払うことを勧められないが、どうしても戻したいからと身代金を払った人を責めることはできないだろう。
WannaCryが流行した原因として、辻さんは「WannaCryはWindowsの脆弱性を突いて感染するランサムウェア。インターネットを含む様々なネットワークで広がるため一気に流行している」と述べた。
ネットワーク経由で同時多発で広がる「ワーム」型感染
WannaCryが一気に大流行した理由は、感染の方法にある。今までのランサムウェアの多くは、メール添付ファイルを開いたり、不正なウェブサイトに誘導されての感染だった。つまりユーザーが何らかのアクションをしたことで感染していたのだが、今回のWannaCryは、ユーザーの操作なしで感染を広げる「ワーム」である。
WannaCryの攻撃の流れのチャート
トレンドマイクロによるWannaCryの攻撃の流れ。インターネットを含むネットワークで自動的に拡散する「ワーム」として動いている。
出典:トレンドマイクロ
ワームとは自分自身を複製でき、拡散するプログラムのこと。生物のように動くウイルスと考えてもいいだろう。
WannaCryは、パソコンやサーバーに残っていセキュリティホール=脆弱性を突き、自動的に拡散していくしくみだ。具体的にはWindowsのMS17-010という脆弱性があるサーバー・パソコンで感染を広げる。この脆弱性は、ファイル共有のしくみ(SMBv1と呼ばれる通信プロトコル)にあり、プリンターの共有やファイル共有で使われている。これが残った状態で、かつインターネットに特定の条件の下で接続したままでいると、外部からの攻撃で侵入されてWannaCryに感染してしまう。同時に社内などのネットワークでも感染を広げる。
トレンドマイクロのセキュリティエバンジェリスト・岡本勝之氏は「WannaCryはインターネットを含むネットワークによって脆弱性のあるサーバーをスキャンし、そこへ感染を広げる機能を持っていると推測している」と述べている。つまりWannaCryに感染したパソコン・サーバーが、ネットワークで自動的に感染を広げていくと考えてもいいだろう。
とはいえ、すべてのパソコン・サーバーがやられるわけではない。
少し専門的な話になってしまうが、脆弱性が残り、かつパソコンの接続ポート(ポート番号445)が開いた状態で、ネットに直接接続している(グローバルIPアドレスを持っている)パソコン・サーバーが被害に遭う可能性がある。岡本氏は「これはかなりセキュリティの甘い状況であり、一般の企業や個人では考えにくい。ほとんどの個人はルーターを使っているから、被害には遭わないだろう」と述べている。
しかし現実として、日本でもこれだけ被害が出ているのだから、その特殊な状況のパソコン・サーバーがあったことになる。岡本氏は「外部で感染したパソコンを、社内ネットワークに持ち込んだなどの原因があるかもしれない」と述べた。筆者の推測では、ファイル共有などのために外部に開放していたパソコンがやられた可能性があると考えている。
対策はWindowsアップデートと企業内外のネット総点検
WannaCryの特徴をまとめたスライド
WannaCryの特徴。脆弱なシステムをネットワークを通して探索し拡散していく。
出典:トレンドマイクロ
WannaCryへの対策としては、以下の3つがあげられる。
ネット接続の総点検: ルーターなしで直接ネットに接続しているパソコンはないか確認。直接つないでいるものがあれば、ポート開放の状況などを確認し、ウイルスチェックを必ず行う。
Windowsアップデートを行う: 脆弱性を解消するため、Windowsアップデートを行う。今回は特例として、サポートが終了しているWindows XP・Vistaについてもアップデートが配布されている(もっともXPとVistaは危険なので、そもそも今後使うべきではない) 。
ウイルス対策ソフトを最新パターンファイルに: ウイルス対策ソフト・セキュリティー対策ソフトを最新版にして、かつパターンファイルを最新版にすること(自動更新を推奨)。
詳しい対策は、企業向けセキュリティ大手LACの注意喚起、トレンドマイクロの注意喚起を参考にしてほしい。
特に企業の担当者に呼びかけたいのは、あらゆるネット接続機器の総点検だ。メインとして動いているネットワークは、ファイアウォールなどセキュリティ対策があるので大丈夫だろうが、コピー複合機・特定部署のファイルサーバーなどメインのネットワークから外れた部署にある機器・パソコンに注意をしてほしい。Windowsアップデートなしで使っていないか、ネットに直接繋いでいないかなどを確かめて対策をすべきだ。
三上洋:セキュリティ、スマホ料金、ネット事件が専門のITジャーナリスト。テレビ・ラジオでの解説も多い。フジテレビ・バイキング準レギュラー。

/////
参考


全世界に悪質ウイルス「ランサムウェア」が大流行. 2017年05月16日 (火)

/////