wannacry - マクニカネットワークス › file ›...

Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.

WannaCry 2017年5月21日

マクニカネットワークス株式会社

※本資料は、2017年5月21日現在の情報を基に作成しております

Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.

「WannaCry」とは

WannaCryはランサムウェアの一種

WannaCryは、ランサムウェアと呼ばれる身代金要求型のマルウェアです。

「WannaCryptor」「WanaCrypt」「Wcry」といった呼ばれ方もします。

一般的にランサムウェアに感染すると、以下のようなデータを使用できないように暗号化し、復号鍵を

提供する代わりに金銭を要求します。

システムの起動に必要なデータ

ハードディスクに保存されているファイル

アクセス可能なネットワークシステム上のファイル

WannaCryに感染すると、Microsoft Officeファイル、画像ファイル、データベースファイル、プログ

ラムのソースコード、仮想環境の仮想ディスクといった170種類以上にも及ぶファイルタイプのデータが

暗号化されてしまいます。

2

暗号化

利用不能利用可能


WannaCryがなぜ騒がれるのか

①自己増殖能力

自己増殖能力を持つマルウェアをワームと呼びます。2000年初頭ではCode RedやNimdaと呼

ばれるワームが拡散し、大きな問題になりましたが、最近では自分で感染拡大を図るワームは減って

いる状況にありました。

WannaCryは、Windowsファイル共有(SMB v1)の仕組みの脆弱性を突き、ワームのように感染

の拡大を図ります。

②感染速度の早さ

WannaCryは、ある端末に感染すると同時に、すぐに他の端末への感染拡大活動を始めます。

感染拡大活動は、同じネットワーク内の端末だけでなく、ランダムに生成されたIPアドレスに対しても

行われるため、サブネットやインターネットを超えて被害が拡大します。

3


③NSAから漏洩した仕組みが使われている

感染拡大のときに使用されるWindowsファイル共有の脆弱性(MS17-010)を突く手法は、

NSA(米国国家安全保障局)が開発した後に内部犯行によって外部に持ち出され、Shadow

Brokersによってインターネット上で広く公開されてしまったと言われています。

MS17-010の脆弱性を突いて任意の命令を実行する機能を「EternalBlue」、EternalBlueを用

いて仕掛けられしまうバックドアを「DoublePulsar」と呼びます。DoublePulsarは、メモリ内でカー

ネルモードで動作します。WannaCryでは、NSAが開発したEternalBlueとDoublePulsarを組

み合わせたフレームワークをそのまま流用しており、EternalBlueの攻撃に成功した端末は、

DoublePulsarのバックドアも仕掛けられてしまいます。

WannaCryがなぜ騒がれるのか (cont’d)

4

WannaCryに感染した端末でDoublePulsarが動作していることを確認マクニカネットワークスセキュリティ研究センターブログより http://blog.macnica.net/blog/2017/05/wanacry-8ff1.html


④Kill Switchが用意されている

Kill Switchとは、活動を停止させるために設けられているスイッチのことを指します。今回のケースで

は、WannaCryの活動を停止することができるURLのことを指しています。

WannaCryでは、通常のマルウェアではあまり見られない、以下のような振る舞いを持ちます。

WannaCry内部にハードコードされたURLにアクセスを試みる

通信に成功した場合：WannaCryは活動を停止する

通信に失敗した場合：WannaCryはその後の処理(ファイル暗号化等)を継続する

WannaCry拡散開始当時は、上述したURLは実在しておらず、通信は必ず失敗(WannaCryは

その後の処理を継続)していました。この一見無意味とも思える動作は、どのようなURLでも回答を

返す仕様のサンドボックスによる解析を回避するためのものだと考えられています。

現在は、あるセキュリティリサーチャーがこのドメインを購入し、通信が成功する(WannaCryは活動

を停止する)ようになっております。ただし、WannaCryの通信はProxyやネットワーク分離環境を超

えることができないため、このような機器をお使いの環境では、Kill Switchによって活動を停止するこ

とができません。(Kill Switchが用意されるマルウェアは極めて稀であるため、今回のケースを受けて

Proxyやネットワーク分離をやめる必要がございません)

WannaCryがなぜ騒がれるのか (cont’d)

5


感染経路と感染する可能性のある端末

感染経路

Windowsの「Microsoft Server Message Block 1.0 (SMBv1)」が持つ脆弱性を突くことに

よって感染します。Webやメールから感染したという具体的な事例は報告されていないため、脆弱

性を持つSMBv1に対する攻撃でのみで拡散していると考えられます。

SMBv1が利用するポート(TCP：137-139、445)がインターネット側に公開されている場合、社外

の感染端末からの自己増殖活動により、感染に至る可能性があります。

一旦社内に感染端末が発生すると、同一サブネット内のIPアドレスに対して自己増殖活動を行いま

すので、さらに感染が拡大する可能性があります。

感染する可能性のある端末

MS17-010の修正パッチが適用されていない以下のOSで、感染の可能性があります。

Windows XP / Windows Vista / Windows 7 / Windows 8 / Windows 8.1

※今回の攻撃コードはWindows 10には無効です

Windows Server 2003 / Windows Server 2008 / Windows Server 2008 R2 / Windows Server 2012 / Windows

Server 2012 R2 / Windows Server 2016

6


WannaCryの感染経路と動作

7

感染端末内の活動

感染拡大活動外部からの感染活動感染端末

MS17-010

未適用サーバ MS17-010

未適用端末

外部サーバ (Kill Switch)

外部サーバ (C&C)

①EternalBlueを用いてMS17-010の脆弱性を突き、BASE64で暗号化したWannaCryのドロッパを送り込みます。再度EternalBlueを用いて、DoublePulsarを動作させます。

②DoublePulsarを介してWannaCryを実行します。

③攻撃者が事前にハードコードしたURL(WannaCry登場当時は存在しないURL)への接続確認を行います。通信に成功すればWannaCryの動作は終了しますが、通信に失敗すれば以降の動作に進みます。

④被害者が身代金を払い、復号鍵を攻撃者から入手するために必要な経路を、Torブラウザを介して確立します。

⑤端末内に保存されているファイルおよびマウントされているネットワークドライブ上のファイルを暗号化します。また、システムの復元に用いられるボリュームシャドウコピーも削除します。

⑥同じサブネット内の若いIPアドレスから順に、EternalBlueを用いた感染拡大を行います。またランダムのIPアドレスに対する感染拡大も同時に行います。

⑦⑥で仕掛けられたDoublePulsarを介してWannaCryを実行します。

①

②

③ ④

⑤

⑥

⑦

Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved. 8

・本資料に記載されている会社名、商品、サービス名等は各社の登録商標または商標です。なお、本資料中では、「™」、「®」は明記しておりません。・本資料は、出典元が記載されている資料、画像等を除き、弊社が著作権を有しています。・著作権法上認められた「私的利用のための複製」や「引用」などの場合を除き、本資料の全部または一部について、無断で複製・転用等することを禁じます。・本資料は作成日現在における情報を元に作成されておりますが、その正確性、完全性を保証するものではありません。

wannacry - マクニカネットワークス › file ›...

Documents