分析2017 年 5 月にイギリスの NHS や世界中の多数の組織を悪名高くロックダウンさせたファイル暗号化ランサムウェア WannaCry は、現在でもほぼ脅威となっていると情報セキュリティ研究者は考えています。
英国のセキュリティソフトウェア企業Sophosは、インターネット上でこのマルウェア(別名WannaCrypt)の兆候を観察するだけで、依然として出回っている新しい亜種を発見しました。幸いなことに、被害者のデータを暗号化して人質に取る部分自体が破損しているため、恐喝は意図した通りには機能していません。
悪質なマルウェアが出現してから約 1 年半後、Sophos は、オリジナルの WannaCry シグネチャの検出数 (つまり、個々のマシンではない) が 500 万件を超えたと見積もった。
「EternalBlueパッチをインストールできるほぼすべてのマシンが既にインストールしているにもかかわらず、なぜこれほど多くの検出が続いているのでしょうか?」とソフォスは問いかけます。「感染を広げようとする感染マシンについて私たちが本当に知っているのは、それらのマシンには(もちろんソフォスの製品は)機能するウイルス対策製品がインストールされていないということだけです。」
データ分析により驚くべき事実が明らかになった。同社が収集した1万2281件のWannaCry関連ファイルのうち、2017年のオリジナルバージョンはわずか40件で、「マルウェア作成者やその他の犯罪者によるテストと容易に考えられるほどの低い数」だった。
より広範なサンプルに含まれる10個のファイルは、合計で「340万件」の検出数を占めました。これらのファイルはいずれも、マーカス「マルウェアテック」ハッチンズ氏が発見したキルスイッチドメインによって阻止されなかったようです。ハッチンズ氏は後に、10代の頃にマルウェアを作成したとして、米国で開催されたBlack HatカンファレンスとDEF CONカンファレンスへの訪問中に、米国法執行機関FBIの標的となりました。
Sophosが発見したWannaCryのより新しく進化したサンプルには、キルスイッチのバイパスが組み込まれていたことが判明しました。同社は「これらの変更は、元のソースコードの再コンパイルではなく、バイナリエディタの使用によって行われたようです。これは、これらの変更が元の作成者によって行われたものではないことを示唆しています」と述べています。
牛痘のようなものだ
しかし、希望はあります。WannaCryは2つの部分で構成されています。1つはマルウェアを他のマシンに拡散する部分、もう1つはペイロードです。ペイロードはzipアーカイブで、自身を解凍して到達可能なすべてのデータを暗号化します。ソフォスの調査によると、新しい亜種ではzipアーカイブが破損していました。
悪名高いNHSを乗っ取るマルウェアが未だに不注意な人々を襲っていることを考えると、WannaCryを思い浮かべたくなるだろう – カスペルスキー
続きを読む
「これで全てが腑に落ちました」と同社は述べた。「大量の検出はキルスイッチがなかったことに起因しており、実際に確認されたほぼすべてのサンプルは何も暗号化されていない破損したアーカイブだったため、暗号化されたファイルについて苦情を言う人は誰もいませんでした。」
便利なことに、WannaCryの破損版は、牛痘が天然痘に及ぼす影響と似たような作用をします。WannaCryの「ライブ」版が感染対象マシン上で破損版を検出すると、「危険なバージョンは感染したコンピュータを無視」して、別の場所へ移動します。
(ご意見を投稿する前に、この動作はワクチン接種の免疫機構と正確には比較できず、大まかに類似しているだけであることを私たちは認識しています。)
残念ながら、良いニュースばかりではありません。WannaCryの作者たちは、その活動が世界中で注目された後、ビットコインウォレットを放棄して久しいにもかかわらず、最近の感染を受けて、一部の個人や組織は依然としてオリジナルのWannaCryの犯罪者に金銭を支払おうとしています。
「WannaCryには3つのハードコードされたビットコインアドレスが含まれており、身代金を支払う場合は、300ドル相当のビットコインをこれらのアドレスに送金する必要があります」とソフォスは述べた。同社によると、攻撃者は入金を監視していないという。
いつものように、身代金を支払わないでください。身代金を支払うことは犯罪者を助長し、世界の安全を脅かすことになります。信頼できるベンダーからアップデートをインストールし、評判の良い販売店から最新のセキュリティソフトウェアを入手し、疑わしいリンクはクリックしないでください。®
