ぴぽろじ

自分と誰かの役に立つといいなと思って書いてる備忘録

WannaCry(WannaCrypt)とは何だったのか

f:id:pipologic:20170521093038j:plain

ニュースを騒がせてから1週間程度が経ち

色んなサイトでいろんな情報が目まぐるしく提供され

正直よくわからなくなってきたので自分用にまとめてみました。

 

■いまさらですが機能

5月12日くらいから世界で150か国・30万件以上で被害が報告されている
身代金要求ウイルス(ランサムウェア)です。

感染すると特徴的な赤い画面が表示され
3日以内にビットコインで$300を支払うように指示され

払えないと倍の$600に、7日後には二度と復元できなくなると脅されます。

Windowsの既知の脆弱性である
Microsoft Windows SMB サーバのセキュリティ上の脆弱性(CVE-2017-0145)
を悪用しているウイルスです。(更新プログラムMS17-010)


従来の標的型攻撃や水飲み場攻撃のように
怪しいメールを開いたり、怪しいサイトにアクセスしなくても
Port445/TCP (他ポートの報告もある)宛の自動感染活動により感染してしまう可能性があります。

日本の場合はたいていNAT越しのアクセスになるので
攻撃パケットが遮断されるため
感染活動が広がらずそれほど深刻な被害にならなかったようです。

しかし、LTE内蔵PCなどモバイル接続で
インターネットにつながっている端末を使用していて
気が付かないまま感染したケースは確認されており
自分の環境を一度確認してみる必要があると思います。

 

初期バージョンのウイルスにはキルスイッチというしくみがあり
動作を止めることも可能でしたが
最近の亜種は止めることができないものも確認されています。

今のところ、身代金を支払って復号されたという確実は報告はないようです。
WannaCryには支払いのしくみにバグがあり
攻撃者は誰が支払ったか確認する術をもたないためと言われています。

ランダムで3ファイルだけ?(もうちょっと多いこともありました)お試しで復号できます。復号するファイルは選べません。

 

◎読売オンラインの記事が一番わかりやすかった
ランサムウェア「WannaCry」流行の理由

www.yomiuri.co.jp


◎その他参考にさせていただいたページ

ランサムウエア "WannaCrypt" に関する注意喚起

https://www.jpcert.or.jp/at/2017/at170020.html
ラック/ランサムウェア「WannaCry」対策ガイド rev.1
https://www.lac.co.jp/lacwatch/report/20170519_001289.html

ITPro/WannaCry、ランサムウエアというよりむしろワームと考えるべきだった
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/051800839/?n_cid=nbpitp_twbn_top

警視庁/ランサムウェア「WannaCry」に感染したPCからの感染活動とみられる445/TCPポート宛てアクセスの観測について
https://www.npa.go.jp/cyberpolice/important/2017/201705191.html

三井物産セキュアディレクション/「WannaCry 2.0」の内部構造を紐解く
http://www.mbsd.jp/blog/20170518.html

日経新聞/大規模サイバー攻撃から1週間 国内被害は軽微
http://www.nikkei.com/article/DGXLASDG19HCH_Z10C17A5000000/

トレンドマイクロ/ランサムウェア「WannaCry/Wcry」による国内への攻撃を 16,436件確認
http://blog.trendmicro.co.jp/archives/14906


■日本の主要な被害(2017/5/20時点)

東日本旅客鉄道JR東日本群馬県高崎支社
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/051500971/

日立製作所
http://www.hitachi.co.jp/New/cnews/month/2017/05/0517a.html

川崎市上下水道
http://www.city.kawasaki.jp/templates/press/800/0000087426.html

イオンのサイネージ端末
http://newsoku.blog/archives/25272

栃木県社会福祉協議会
https://mainichi.jp/articles/20170520/ddl/k09/040/083000c

東急電鉄
http://www3.nhk.or.jp/news/html/20170516/k10010983251000.html

近鉄エクスプレス
http://news.tbs.co.jp/newseye/tbs_newseye3057523.html

 

◎参考にさせていただいたページ
世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた

d.hatena.ne.jp

国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染

itpro.nikkeibp.co.jp

 

ニュースになってるのはインフラが多い感じですね、どこの会社も深刻な被害にはなってないみたいなこと言ってる。

でも、私が個人的に知ってる会社では
ファイルサーバが全部だめになったりしたらしいので(ご愁傷様です…)
報道されてないところでは結構大変だったりするんじゃないかなあ。


■ところで犯人はいくら儲けたのだろうかというゲスな話

犯人に指定されているというビットコイン支払先、3つある
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

今のところ(2017年5月20日23:37時点)は
1BTCは¥234,858なので
合計して日本円に直すと¥11,481,198円(端数切捨)でした。

 

請求が1人3万くらいだから、だいたい300人くらいが払ったってことでいいのかな。
全世界で話題になった割には少ない気がする。

悪いことはうまくいかないものなのかなあ。

 

■実は身代金を払わなくても復号できるらしいという話

感染してからまだ時間がたっていなくて
再起動していなければ
複号できる可能性のあるツールが存在します

WannaCryによって暗号化されたファイルを復号できる可能性のあるツール wanakiwi

cyberthreatintelligence.hatenablog.com

今度試してみよーっと