世界的なサイバー攻撃: 数千台の PC を破壊した WannaCry について知っておくべきことすべて

先週末、インターネットは WannaCrypt というランサムウェア攻撃によって一変しました。この攻撃は数千台の PC に感染し、世界中で混乱を引き起こし、病院にも影響を及ぼしました。この世界的なサイバー攻撃について、その起源、広がり、そして今後それから身を守る方法など、知っておくべきことはすべてここにあります。

私たちのファイルと(正直なところ)私たちの生活が電子デバイスに保存されているため、コンピューターのセキュリティは不可欠です。ファイルが盗まれると致命的になる可能性があります。単純な休暇の思い出からオンライン ID の盗難に至るまで、ほとんどのハッカーが躊躇するステップは 1 つだけです。

2017年には、傾向はランサムウェア攻撃に向かっています、データを暗号化し、それを取り戻すために身代金を要求するマルウェア。個人と専門家の両方に影響を与える一種の脅迫バージョン 2.0。

今週末、特に 1 つのマルウェアが目立っていました。 WannaCry (または WannaCrypt、WanaCrypt0r、WCrypt など) と名付けられたこのウイルスは、記録的な速さで拡散し、世界中の多数のインフラストラクチャを動けなくすることに成功しました。ケースに戻ります。

WannaCry とランサムウェア: それは何ですか?

前に述べたように、WannaCry はランサムウェアです。このマルウェアの原理は非常に単純です。たとえば、感染したプログラム インストーラーを通じてインストールされると、ハード ドライブ上で実行されます。

彼の目標は?すべてのファイルを復元し、1 つ以上のキーを使用して暗号化します。その結果、すべてのファイルにアクセスできなくなります。その後、小さなメッセージが表示され、「ロックを解除」するためのキーを回復できるようにするために、数日以内に身代金を支払うよう求められます。期限までに支払わない場合、コンピュータは消去されます。

要求される金額は複数ありますが、一般的には比較的低額です。これらの攻撃の目的は、特定のターゲットに大きな影響を与えることではなく、一度に数人を攻撃して支払いのチャンスを増やすことです。

WannaCry も同様に機能し、ファイルを回復するには「わずか」 300 ドルが必要です。しかし、無理に手を出そうと3日も待つと、要求額は2倍になります。 6 を超えると、ファイルは永久に失われます。

さらに、ローカル ネットワークに接続している場合、マルウェアはこれを利用して、そのネットワーク上の他のすべてのデバイスに自動的に拡散します。システムの復元によってデータが消去されるのを防ぐために、復元ポイントにも感染します。

今週末、WannaCry で何が起こりましたか?

IT セキュリティの世界ではランサムウェアは決して新しいことではありません。これは WannaCry にも当てはまります。しかし、2017 年 5 月 12 日金曜日、このウイルスは猛スピードで世界中に広がり、イギリス、スペイン、ポルトガル、メキシコ、オーストラリア、ロシアだけでなく…フランスも含む約 100 か国に影響を及ぼしました。合計で少なくとも 95,000 台の PC が影響を受けました。

今週土曜日、ルノー・グループはこの攻撃の影響を受けたことを認め、国内のいくつかの工場の閉鎖を余儀なくされた。他の国にとっては、その影響はさらに深刻でした。

たとえば英国では、いくつかの病院のコンピュータ システムが影響を受け、多くのサービスが停止せざるを得なくなりました。幸いなことに電力網は遮断されていなかったため、今回の攻撃による被害は軽微であった。

認識してください: コンピュータ システムがなければ、患者の病歴、したがってアレルギーや以前の問題を調べることは不可能です。したがって、重大な危機の状況下では、医師が患者のケアを保証することは不可能です。

しかし、それだけではありません。スペインでは、水道とガスのネットワークもこのランサムウェアによってブロックされました。

この世界的なサイバー攻撃はどこから来て、誰が利益を得るのでしょうか?

ランサムウェアは新しいものではありませんが、この規模の攻撃は、より大規模な攻撃者によって組織化されたことを示唆する傾向があります。犯罪行為の痕跡または国家攻撃の(または少なくとも国家によってサポートされている)可能性は排除されません。

今のところ、それ以上のことはわかりません。ただし、WannaCry の起源は少なくとも 2017 年 2 月まで遡ることができ、その時点では WeCry という名前の最初のバージョンがすでに発見されており、おそらく同じ人物によって作成されていました。

NSA、WannaCry の責任者?

このインターネット セキュリティ危機が勃発したとき、NSA と並行して情報が渡されるのを見たことがあるかもしれません。しかし、なぜアメリカの組織が引用されるのでしょうか?それは単純に、彼にも責任の一端があると見なされているからである。

ご存知のように、WannaCry は、2017 年 3 月 14 日に Microsoft によってのみパッチされ、NSA によってのみ発見されたセキュリティ上の欠陥を使用しています。諜報機関は情報を諜報およびスパイ活動の一環として使用していたため、公表していなかった。

たとえば Windows XP は発行元によって保守されなくなったため、3 月 14 日のパッチは主に Windows の最新バージョンを対象としていました。これが、ランサムウェアの影響を最も受けやすいバージョンである理由です。

WannaCryは停止されましたか?

ランサムウェアはその進行をすぐに食い止めましたが、必ずしもこの脅威が去ったというわけではありません。この最初のバージョンには確かに、その没落の原因となった顕著な欠陥がありました。

それを発見したのは、MalwareTech という名前を名乗る 22 歳の若い英国人でした…偶然です。この若者はコードを分析するためにこのウイルスのコピーを入手し、コードに登録されていない Web アドレス「IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM」を発見しました。

https://twitter.com/MalwareTechBlog/status/863187104716685312

そのため、彼はこの攻撃を監視するためにドメイン名を購入しましたが、新しく作成されたサイトへの接続が次々と切断されていることに気づきました。

実際、これはこの攻撃の「キル スイッチ」でした。WannaCry がインストールされたとき、WannaCry はこのアドレスに ping を送信しました。彼が応答を受け取らなかった場合、攻撃は進行しました。しかし、ドメインがアクティブ化されて応答を返していたため、暗号化は行われていませんでした。

ただし、あまり興奮しないでください。WannaCry のバージョン 2.0 は、別のドメイン名を使用したり、ほんのわずかなキル スイッチを削除したりして、すでに世界中で展開されています。まだ何も終わっていません。

このサイバー攻撃から身を守るにはどうすればよいでしょうか?

前述したように、WannaCry は 3 月 14 日のセキュリティ更新プログラムを受信して​​いない Windows に影響を与えます。したがって、これは、古いバージョンの Windows がフォローされなくなったことを意味しますが、Windows Update アップデートが無効になっているバージョンも同様です。

この話を教訓として、コンピュータを最新の状態に保つ必要があるのはこのためです。将来的には、Windows XP、NT4、2000、および 2003 は使用しないほうがよいでしょう。例外として、Microsoft は古いバージョンの Windows を保護するセキュリティ パッチを実装しました。こちらから入手できます。

すでに更新プログラムをインストールしている場合は、安全性を確保するための追加手順として、SMB1.0/CFS ファイル共有を無効にすることで、ローカル ネットワーク上のコンピュータが感染しないようにすることができます。そのために:

  • Windowsの設定に移動します
  • 「プログラム」をクリックします
  • 右側の「プログラムと機能」をクリックします。
  • 左側にある「Windowsの機能の有効化または無効化」をクリックします。
  • リストから「SMB 1.0/CIFS ファイル共有サポート」のチェックを外します。

特別な無料ソフトウェアなど身代金無料、また、これに対して特に保護します。すでにウイルス対策ソフトウェアを使用している場合は、この攻撃を考慮して徐々に更新されます。 Windows Defender も更新されていることに注意してください。

しかし何よりも、インターネット セキュリティの基本ルールを忘れないでください。インターネットの閲覧や電子メールの受信には注意してください。

WannaCry に感染した場合はどうすればよいですか?

名前が示すように、泣けます。さらに深刻なことに、ファイルがマルウェアによって暗号化されている場合、それらを回復するのは非常に困難になります。マシンを回復するための唯一の本当の解決策は、マシンを完全にリセットすることです。

したがって、ファイルのコピーをクラウド上や専用ディスクなどに作成することが重要になります。ただし、感染した場合は、暗号化されたファイルのコピーを保存しておくと有益な場合があります。実際、ウイルス対策の発行元は、この種の攻撃の後、キーが見つかったらデータを復号化するツールを提供していることがよくあります。