トレンドマイクロでは、2017 年上半期(1~6月)における国内外の脅威動向について分析を行いました。この上半期に見られたセキュリティ上の最も大きなトピックは、「WannaCry」と「Petya」という 2 種のランサムウェアによる世界的な被害だったと言えます。この 2 種のランサムウェアは脆弱性を利用したネットワークワーム活動により、法人組織のネットワークで被害を引き起こしました。特に、通常の組織内にある情報系ネットワークだけでなく、工場や病院、鉄道、販売管理システムといった業種特有環境のネットワークでも深刻な被害を発生させたことで大きな注目を集めました。
図 1:「WannaCry」が表示する身代金要求メッセージの例
「WannaCry」と「Petya」の登場はここ数年で顕著になったランサムウェアという攻撃手法の 1 つの頂点であると言えるかもしれません。昨年からの傾向として、ランサムウェアには「多様化」の傾向が見られていました。新ファミリーが継続して登場し続けており、種類の増加と共に新たな様々な機能が取り入れられています。この多様化したランサムウェアの中でも、「WannaCry」と「Petya」は最悪の存在となりました。
この「WannaCry」と「Petya」を最悪の存在にしたのは「脆弱性」でした。「EternalBlue」とも呼ばれる Windows のファイル共有の脆弱性「CVE-2017-0144(MS17-010)」を利用したワーム活動は、特に法人組織内のネットワークにおいて深刻な被害を起こしました。インターネットに接続された機器を対象にした検索エンジン「Shodan」を使用し、「WannaCry」が登場した 5 月に調査を行ったところ、この脆弱性の攻撃を受けるリスクを持った Windows 端末が全世界で 50 万台以上もインターネット上に露出していました。そして「WannaCry」がもたらした被害は、工場や病院、鉄道、販売管理システムといった業種特有環境のネットワークでは、脆弱性のリスクを抱えた端末が数多く存在していること、また、何らかの脅威が侵入した際に被害を拡大させないための対策はほとんど導入されていないことなどのセキュリティリスクを再び顕在化するものとなりました。
その他の 2017 年上半期のトピックとしては、「脆弱性」は継続して深刻なものが確認されており、企業にとってあらゆる環境で最も大きなセキュリティリスクとなっています。「WannaCry」の大規模被害をもたらした他にも、Web サイト、特に EC サイトにおける情報漏えいは多くの事例で脆弱性が原因となっており、IoT機器の脆弱性を狙う「Persirai」のようなボットが継続して登場しているにも関わらずインターネット上に露出している多くの機器で脆弱性が放置されたままであることが確認されています。国内ネットバンキングを狙う攻撃では「URSNIF」と「RAMNIT」という 2 種のオンライン銀行詐欺ツール(バンキングトロジャン)が活発な動きを見せています。
2017 年上半期に確認された様々な脅威動向について、より深く知るためには、以下のレポートをご一読ください。
2017 年上半期セキュリティラウンドアップ:『ランサムウェアの多様化が生んだ「WannaCry」』
