WannaCry
WannaCry とは何ですか?
WannaCry2017 年 5 月に発生した自己拡散型ランサムウェアワームで、漏洩した NSA の SMBv1 エクスプロイト EternalBlue を使い、150 か国の 20 万を超えるシステムを暗号化した。
WannaCry(別名 WannaCrypt、WCry)は 2017 年 5 月 12 日に発生したランサムウェアワームで、数日のうちに 150 か国・20 万台以上の Windows システムを感染させました。Shadow Brokers が公開した SMBv1 エクスプロイト EternalBlue とバックドア DoublePulsar を組み合わせ、未対応ネットワーク内で自己拡散しました。著名な被害組織には英国 NHS、Telefonica、FedEx、ルノー、ドイツ鉄道などが含まれます。マルウェアはファイルを暗号化し、1 台あたり約 300 ドル相当のビットコインを要求しました。Marcus Hutchins が発見した kill switch ドメインが流行を鈍化させました。米国・英国などはこれを北朝鮮の Lazarus グループに帰属させています。
● 例
- 01
未パッチの NHS ワークステーションが発生数時間で暗号化され、複数の病院が機能停止する。
- 02
防御側は境界で TCP/445 をブロックし、全 Windows 資産に MS17-010 パッチを強制適用する。
● よくある質問
WannaCry とは何ですか?
2017 年 5 月に発生した自己拡散型ランサムウェアワームで、漏洩した NSA の SMBv1 エクスプロイト EternalBlue を使い、150 か国の 20 万を超えるシステムを暗号化した。 サイバーセキュリティの マルウェア カテゴリに属します。
WannaCry とはどういう意味ですか?
2017 年 5 月に発生した自己拡散型ランサムウェアワームで、漏洩した NSA の SMBv1 エクスプロイト EternalBlue を使い、150 か国の 20 万を超えるシステムを暗号化した。
WannaCry はどのように機能しますか?
WannaCry(別名 WannaCrypt、WCry)は 2017 年 5 月 12 日に発生したランサムウェアワームで、数日のうちに 150 か国・20 万台以上の Windows システムを感染させました。Shadow Brokers が公開した SMBv1 エクスプロイト EternalBlue とバックドア DoublePulsar を組み合わせ、未対応ネットワーク内で自己拡散しました。著名な被害組織には英国 NHS、Telefonica、FedEx、ルノー、ドイツ鉄道などが含まれます。マルウェアはファイルを暗号化し、1 台あたり約 300 ドル相当のビットコインを要求しました。Marcus Hutchins が発見した kill switch ドメインが流行を鈍化させました。米国・英国などはこれを北朝鮮の Lazarus グループに帰属させています。
WannaCry からどのように防御しますか?
WannaCry に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
WannaCry の別名は何ですか?
一般的な別名: WannaCrypt, WCry, WanaCryptor。
● 関連用語
- malware№ 900
ランサムウェア
被害者のデータを暗号化したりシステムをロックしたりし、復旧と引き換えに金銭を要求するマルウェア。
- vulnerabilities№ 389
EternalBlue (CVE-2017-0144)
2017 年に発見された Microsoft SMBv1 のリモートコード実行脆弱性に対する NSA 開発のエクスプロイト。Shadow Brokers が流出させ、WannaCry や NotPetya に利用された。
- malware№ 207
コンピュータワーム
宿主ファイルや利用者の操作を必要とせず、ネットワーク上で自律的に自己複製・拡散するマルウェア。
- defense-ops№ 802
パッチ管理
脆弱性や不具合を修正するソフトウェア更新を、識別・検証・適用・確認するエンドツーエンドのプロセス。
● 関連項目
- № 1027Shadow Brokers リーク