今年も来たか、ランサムウェア…。今度は”WannaCry”。
昨年の2月頃、日本でも大きな被害をもたらしたランサムウェアlocky。
その手法と似たようなランサムウェアが昨今日本でも被害を出しているようですね。
その名も”WannaCry”。
日本語に訳すと「泣きたい」という意味だそうです・・・。
基本的には身代金要求型
動きとしてはlockyと同じようです。
感染してしまうと”.txt”、”.doc”、”.zip”など150種類以上の拡張子のファイルが暗号化され、新たに”.WCRY”という拡張子が付くそうです。
そして画面上には以下のような文章が英語で表示されます。
おっと!あなたのファイルは暗号化されています。
私のコンピュータに何が起こったのですか?
重要なファイルは暗号化されています。
文書、写真、ビデオ、データベース、およびその他のファイルの多くは、暗号化されているためアクセスできなくなりました。
たぶん、あなたのファイルを回復する方法を探していますが、時間を無駄にすることはありません。
誰もあなたの解読サービスなしであなたのファイルを回復することはできません。私のファイルをカバーすることはできますか?
もちろん。すべてのファイルを安全かつ簡単に復元できることを保証します。
しかし、十分に時間がありません。
あなたは無料でいくつかのファイルを解読することができます。
解読をクリックして今すぐお試しください。
しかし、あなたのファイルを復号化したい場合は、お金を支払う必要があります。
お支払いを送信するのに3日しかありません。その後、価格は倍になります。
また、7日間で支払いを行わないと、ファイルを永久に回復することができなくなります
私たちは6ヶ月以内に払うことができないほど貧しい人々のために無料イベントを開催します。私はどのように支払うのですか?
支払いはBitcoinでのみ受け付けます。
~以下略~
google翻訳を使ったので、なんともふざけた文章のように読めますが、内容は悪質極まりないです。
”暗号化を解いて欲しければ金をよこせ”
と言っているわけですから。
どんな感染経路なのか
現在確認されている感染経路で被害が大きく報道されているのは、Windowsで利用される Server Message Blockからの感染です。
流れ的には以下のような感じかと思われます。
- メール添付ファイルの開封やメール内に記述されたURL等に不用意にアクセスし、社内の1台(または複数)のPCでWannaCryに感染。
- Server Message Blockの脆弱性を突いて、LAN経由で他のPCに感染・・・。
2017年5月16日現在、暗号化されたファイルの複合化はできないようで、一度感染してしまうと対処法はバックアップファイル等による再セットアップしかないそうで、バックアップを取っていない場合は現状回復はほぼ望めない模様です。
どうやって防ぐのか
まずは、以下の点をしっかりと守ることが重要です。
1.差出人不明のメールは開かない
メールを開封する前に必ず、そのメールアドレスに心当たりがあるかどうかを自分で確認しましょう。
今回のwannacryが出回っているメールの件名や文章は、27か国語に対応しているとのことで、その中には日本語も含まれています。
”注文書をお送りします”とか”お荷物をお届けします”といった件名でメールを送り付けてきて、悪意あるプログラムを呼び出すファイルやURLを開かせようとしてくるケースを、筆者も確認しています。
やはりその時も第一の判断基準になったのはメールアドレスでした。
小さな確認で大きな被害を防ぎましょう。
2.信頼できない添付ファイルやURLは開かない
メールに添付されているファイル、特にwordやexcelのファイルを開く場合、開く前にwordやexcelでマクロを実行する設定を確認しておきましょう。
【やり方(2010の場合)】
- word(もしくはexcel)を起動し、”ファイル”をクリック
- 左列に表示される”オプション”をクリック
- 小さなウィンドウが出てくるので、左列の一番下”セキュリティーセンター”をクリック
- ウィンドウ右の表示が切り替わるので、その中にある”セキュリティーセンターの設定”ボタンをクリック
- もう一つ小さなウインドウが表示されるのでその中の”マクロの設定”をクリック
- ウィンドウ右に表示された”マクロの設定”の項目の内、「無効」という記述があるいずれかの項目にチェックを入れる。
マクロの設定の項目では”警告を表示してすべてのマクロを無効にする”を選択しておくことをおススメします。
これを選択した場合、マクロがあるファイルを開いたとき、マクロは実行されませんが、ご自身でマクロを有効化することもできます(下図参照)。
例えば業務で使うファイルはマクロが必要な場合もあると思うので、それらに関してはご自身でマクロを有効化し、それ以外のファイルに関しては有効化を控えるといった使い方が出来ます。
この状態であれば万が一悪意あるマクロが記載されたファイルを開いてしまっても、即実行されてしまう危険は回避できます。
3.バックアップを作成する
windowsの場合、システムイメージバックアップという機能があり、それを行うことで現時点でのPC環境のバックアップを行うことが出来ます。
ここで詳細を書くと非常に長文になってしまうため、システムイメージバックアップに関しては以下のページをご参照ください。
■Windows 7でシステムイメージを作成しパソコン全体をバックアップする方法(NEC LAVIE公式サイト)
https://121ware.com/qasearch/1007/app/servlet/qadoc?QID=013667
■Windows 8.1でシステムイメージを作成しパソコン全体をバックアップする方法(NEC LAVIE公式サイト)
https://121ware.com/qasearch/1007/app/servlet/qadoc?QID=015953
■[Windows 10] システムイメージをバックアップする方法を教えてください。(富士通パソコンFMVのサポートページ)
https://www.fmworld.net/cs/azbyclub/qanavi/jsp/qacontents.jsp?PID=0010-8227
4.OS、セキュリティソフトのアップデート
microsoftは、今回のwannacryの件についてすばやくwindows アップデートを公開しました。
しかも、今回は被害状況を鑑みて、既にサポートを終了したXPに対してもアップデートを緊急配布するとのことです。
また、セキュリティソフト販売各社もwannacryに対応したアップデートを今後行っていくものと思われます。
ご自身のPCを守るため、今すぐ最新の状態にアップデートしましょう。
また、今回のwannacryはWindows 7/Server 2008以前のシステム用にコードが書かれていたとのことで、Windows 10は影響を受けないそうです。
このような点からも、予算や業務的に可能であればできるだけ最新のOSを使用していた方が安全なのかもしれません。
日頃の備えが重要です
今回のようなランサムウェアによる被害は、今後も増えていくかと思われます。
それらに対応していくには、microsoftやセキュリティソフトに頼るだけでなく、自分たちで万が一に備える体制を作っていくことが重要です。
前述した「1.」~「4.」をしっかりと守って、自分たちのデータや作業環境を自分たちで守る習慣を今から身につけていきましょう。
追記:
弊社ではランサムウェア被害による暗号化されたファイルの複合化等の作業は、承っておりません。
予めご了承ください。
(前回lockyの記事を書いた時、全国からお問い合わせいただき、結構ビックリしました。)
なお、感染前の状態での社内のセキュリティーに関するご相談(セキュリティソフトのご提案やネットワーク環境の構築、PCのバックアップ環境の構築など)は、お受けすることが可能です。
まずはお気軽に以下のボタンよりお問い合わせ下さい。