Cyber Threat Intelligence News

深刻化するサイバー空間における脅威への対抗手段として、国家の防衛のみならず民間においても必須のものとなったCyber Threat Intelligence(サイバー脅威インテリジェンス)を活用するために有益な情報を提供します。

Windows XPの被害が少ない理由についての推測 WannaCryのワーム機能(SMBv1脆弱性を利用した感染拡大)はWindows XPでは動作しないのか

カスペルスキーグローバルリサーチ分析チームのディレクターであるCostin Rai氏のツイートによると、WannaCry(別名WannaCrypt)の被害は97%以上がWinows 7であり、Windows XPの被害はほとんど認められないとのことです。*1

なお、ごくわずかに認められるWindows 10の被害については、何らかのテスト目的で意図的に感染させたものだろうとの見解も述べられています。

当初、アップグレードされないまま企業などで使用され続けているWindows XPへの感染拡大が懸念されていましたが、カスペルスキー社のデータによると、これは杞憂に終わったと言えるようです。

では、なぜWannaCryはWindows XPに感染が拡大することがなかったのでしょうか。

WannaCryの感染経路は主に以下の2つがあり、WannaCryが既存のランサムウェアと比較して大規模に感染が広まったのには、2つめのSMBv1の脆弱性を利用したワームのような動きによるものであるとみられています。

  1. メールの添付ファイルなどにより届けられたファイルをユーザが実行する(既存のランサムウェアにみられる手法)
  2. SMBv1の脆弱性(MS17-010)を利用して感染拡大する(ワームのような動き)

リサーチャーのKevin Beaumont氏は、このSMBv1の脆弱性を利用したワームのような感染拡大は、Windows XPに対しては成功することがないと主張しています。

Beaumont氏によると、SMBv1の脆弱性を利用して感染が広がるのはWindows 7と2008 R2のみであるとのことです。

また、米シマンテック社のSecurity Responseも、Exploit(SMBv1の脆弱性を利用した攻撃)はWindows XPにおいて成功しないと回答しています。

WannaCryの感染がWindows XPに対して拡大しなかった理由は、Beaumont氏が主張する通り、Windows XPにはSMBv1の脆弱性を利用したワームのような感染拡大が行えなかったせいかもしれません。

しかしながら、たとえWannaCryによる攻撃は失敗に終わったとしても、Windows XP脆弱性が存在することは事実であるため、Windows XPへの速やかなパッチ適用(およびサポート対象バージョンOSへのアップグレード)は必要です。いったん脆弱性が公開されてしまった以上、Windows XPに対しても攻撃が成功するよう強化されたマルウェアが出現する可能性が十分に考えられるためです。

*1:ただし、これはあくまでカスペルスキー社のソフトウェアがインストールされているコンピュータにおける統計のようです。