Cyber Threat Intelligence News

深刻化するサイバー空間における脅威への対抗手段として、国家の防衛のみならず民間においても必須のものとなったCyber Threat Intelligence(サイバー脅威インテリジェンス)を活用するために有益な情報を提供します。

22歳の青年が偶然WannaCryのキルスイッチを有効化

先週末、ヨーロッパを中心に大規模な被害をもたらしたと報じられたランサムウェアWannaCry(別名WannaCrypt)ですが、日本では現時点でそれほどの被害は報じられておりません。

これにはいくつかの理由が考えられます。一つは時差の関係上、日本の多くの企業が活動を始める前にセキュリティ・ベンダーが対策を取る時間があったこと。日本における週末の間にパターンファイルやWebレピュテーションの対策が取られたため、アンチウイルスソフトやWebゲートウェイ、メールゲートウェイを利用している企業においてはランサムウェアを検知・ブロックできた可能性があります。

 また、日本ではWindowsへのパッチ適用やサポート切れOSからの移行が海外よりも進んでいたため感染が拡大しなかった可能性も考えられます。ただし、Stat Counterによると2017年4月時点のWindows XPのシェアは英国が1.91%であるのに対して日本は2.55%ということですので、これについては論証が得られません。

gs.statcounter.com

もう一つ考えられる理由としては、WannaCryに仕込まれていたキルスイッチの存在が挙げられます。英ガーディアン紙によれば、カルフォルニアのウェブセキュリティ企業に勤める英国出身の22歳の青年Marcus Hutchins氏がWannaCryのキルスイッチを発見し、これを有効化したとのことです。このキルスイッチとは、WannaCryが感染したコンピュータ上で特定のドメインの存在を確認し、これが確認できた場合には活動を停止するというものです。

www.theguardian.com

記事によると、Hutchins氏は、WannaCryのプログラムに秘匿されていたドメイン名を発見し、これを10.69ドルで取得したとのことです。ただしこの時、Hutchins氏はこのドメイン名が何を意味するか分かっていなかったとのことで、偶然にもキルスイッチを有効化してしまったということのようです。

Hutchins氏はTwitter上で、「履歴書には"偶然、国際的なサイバーアタックを食い止めた"とだけ書き足すことにするよ」と述べています。

もしかすると、Hutchins氏の行動力によって日本はWannaCryの猛威(の第一波)から逃れられたのかもしれません。ただし、すでにキルスイッチが除去されたバージョンのWannaCry亜種が出回っていることが複数のセキュリティ・ベンダーなどにより確認されています。また、同じ脆弱性を利用した別の攻撃が発生する可能性も考えられます。このため、引き続きMS17-010の適用が済んでいないコンピュータへの迅速な対処が必要です。