【ランサムウェア】「WannaCry」で世界を攻撃、これまでにわかったこと [無断転載禁止]©2ch.net

[0001 みつを ★ 2017/05/15(月) 14:36:15.48 ID:CAP_USER9]

http://www.afpbb.com/articles/-/3128245?act=all

【5月15日 AFP】世界150か国以上で被害が出ている「ランサムウエア」を使った前例のない規模でのサイバー攻撃について、専門家らは現在、犯人の特定に全力で取り組んでいる。今回、主に米マイクロソフト（Microsoft）の基本ソフト（OS）「ウィンドウズ（Windows）」の旧バージョンが狙われた。

　ランサムウェアを使った今回のサイバー攻撃について、これまでに明らかになっているのは以下の通り。

■「WannaCry」

　全世界で12日、主にマイクロソフトの「ウィンドウズXP（Windows XP）」の脆弱性に付け込んだサイバー攻撃が相次いで発生。「WannaCry」や「WCry」と呼ばれるランサムウェアが攻撃に用いられた。

　その手口は、利用者がデータにアクセスすることを一時的に不可能にし、その解除と引き換えに仮想通貨「ビットコイン（Bitcoin）」での身代金支払いを要求するもの。旧バージョンのOSは、すでに基本的な技術サポートが終了している。

■被害状況

　欧州警察機構（ユーロポール、Europol）のロブ・ウェインライト（Rob Wainwright）長官は14日、今回のサイバー攻撃による被害は世界150か国以上に及び、被害件数は20万件以上に上っていると明かした。ランサムウェアを使ったサイバー攻撃としては、史上最大の規模だという。

　英国の複数の医療機関やスペインの通信会社大手テレフォニカ（Telefonica）、仏自動車メーカーのルノー（Renault）、米運輸大手フェデックス（FedEx）といった企業のほか、露内務省、独ドイツ鉄道（Deutsche Bahn）なども被害に遭ったと報じられている。

■全世界に拡散

　専門家らは、ランサムウェアのプログラムが世界数十言語に対応しているとみられることから、ハッカーらは世界的なネットワークのかく乱を目論んでいたことが考えられると指摘している。

　露モスクワ（Moscow）のITセキュリティー大手カスペルスキー（Kaspersky Lab）の研究チームは、米国家安全保障局（National Security Agency、NSA）が開発したコードが使用された点を指摘し、これが被害の急速な拡散につながったとしている。このデジタルコードは、NSAから流出したドキュメントに含まれていたものだという。

　ウェインライト氏によると今回の攻撃は、ランサムウェアとワーム機能を組み合わせた特殊なものだったため、1台のコンピューターが感染すると、ネットワーク上にある他の脆弱なコンピューターにも感染が及ぶようになっていた。米セキュリティーソフト大手シマンテック（Symantec）は、攻撃は無差別に行われたとしている。

■背後にいるのは誰か

　ハッカーの身元やその動機については、現時点では明らかになっていない。被害に遭った国々では現在、安全保障当局が犯人特定に全力を注いでいる。

　犯人像については、個人とは考えにくく、サイバー犯罪を専門とする地下組織がかかわっているとみられる。より高度なエンクリプションを用い、その行動を分かりにくくしていると専門家らは説明する。

■要求

　感染すると、300ドル（約3万4000円）を仮想通過ビットコインで支払うよう要求するメッセージがスクリーンに表示される。

　メッセージは、支払いが3日以内に履行されない場合には金額が2倍となり、7日以内に支払いがなければデータファイルは消去されると警告する。

　被害の規模から、たとえそれぞれが少額であっても短時間で相当の金額が集まる可能性も考えられるが、これまでに支払った人はそう多くないとみられている。

　専門家らは、要求に応じればハッカーを喜ばせるだけであり、ファイルのロックが解除される保証がないばかりか、被害者の銀行口座情報を知られることになる恐れもあるため、支払いには応じないよう注意を促している。(c)AFP

2017/05/15 14:17（ロンドン/英国）

[0952 名無しさん＠１周年 2017/05/16(火) 00:52:28.76 ID:JEkIeBNv0]

>>940
scrは中身はexeだからね
それはscrとかが問題じゃなく
ウイルスを必ず実行するようなexeに置き換えられたら
簡単だという話
実際は汎用的にできない
NSAのはサンバの脆弱性でexeを拡散させて
これはなんだろうって実行してしまうような人が
感染してる状況じゃないのだろうか
医療関係や重要なとこはメールではめてる

[0953 名無しさん＠１周年 2017/05/16(火) 00:53:13.18 ID:CO58N3Lh0]

つーことで復号を正しく行うには
「00000000.eky」と「ファイル毎に00000000.pkyで暗号化されたAES鍵」を攻撃者のサーバに投げて
攻撃者のサーバは「ランサムウェアが持つ公開鍵」に対応した秘密鍵でAES鍵を復号してクライアントに返すって挙動になるね

[0954 名無しさん＠１周年 2017/05/16(火) 00:53:31.56 ID:3RAXGJz+0]

悪い奴とのイタチごっこ。
アップデートに過信しててもゼロデイ攻撃だと。
使い手自身をアップグレードしないとダメだ( ^ω^ )

[0955 名無しさん＠１周年 2017/05/16(火) 00:55:23.33 ID:Y/5jY7fW0]

>>1
Windows8なら大丈夫なの？

[0956 名無しさん＠１周年 2017/05/16(火) 00:55:34.25 ID:sQCQbaD/0]

今回の身代金要求型は一件あたり3万円くらいらしいな
「このくらいなら・・・」で払う人居るんだろうな

[0957 名無しさん＠１周年 2017/05/16(火) 00:57:22.41 ID:aIQ9YhNO0]

>>956
てか、XPをネットに繋いでるような人に、ビットコインでの支払いはハードル高杉w

[0958 名無しさん＠１周年 2017/05/16(火) 00:58:38.04 ID:VPFP1bIc0]

感染してやられてもやり取りするの怖いし、データ諦めて泣く泣く再インストールか
これを機にPC買い直しじゃない？中古で3万も出せば性能十分なのあるよ
金要求して払うのそんなにいるんかねー

[0959 名無しさん＠１周年 2017/05/16(火) 00:58:54.44 ID:CO58N3Lh0]

>>919で言及されているお試し復号については
暗号化されたファイルの拡張子は.wncryと.wncyrのものがあり
後者はAES鍵が暗号化されずに埋め込まれており攻撃者の秘密鍵なしで復号できるようになっている
というカラクリらしいね
これは.wncryを復号させる気があるのか怪しいねえ

[0960 名無しさん＠１周年(魔王城門前) がんばれ！くまモン！©2ch.net (ｶﾞﾗﾌﾟｰ KK97-MyOh) 2017/05/16(火) 01:00:10.46 ID:kLoxE89sK]

くらったら初期化するわけだけどその時ＯＳも変えちゃうのかな怪しいな

[0961 名無しさん＠１周年 2017/05/16(火) 01:01:50.69 ID:gdP0wepf0]

>>780
豊丸まで読んだ

[0962 名無しさん＠１周年 2017/05/16(火) 01:02:16.89 ID:sQCQbaD/0]

ほんとに大事なデータだったらローカル以外にも保管してるから
PCを初期化されても結構平気なんだが、そういうことを知らない人は
簡単に添付ファイルクリックするよなぁ

[0963 名無しさん＠１周年 2017/05/16(火) 01:02:46.25 ID:Q2+hBgUg0]

いやだってこういう事するのってマイクロソフトの誰かだろ？

[0964 名無しさん＠１周年 2017/05/16(火) 01:02:52.97 ID:UicrF72r0]

陸自にもランサムあるじゃん

[0965 名無しさん＠１周年 2017/05/16(火) 01:06:35.85 ID:sQCQbaD/0]

>>963
なんでMSと特定したのか謎だけど
だいたいはエクスプロイトキットで作っちゃうんじゃね？

[0966 名無しさん＠１周年 2017/05/16(火) 01:08:00.34 ID:FgFHmK3X0]

陸自ってXP使ってるのか

[0967 名無しさん＠１周年 2017/05/16(火) 01:09:13.53 ID:gfvYlpj30]

>>936
なるほど参考になった
RSA秘密鍵をランサムウェア共通の公開鍵で暗号化してサーバーに渡してユニーク識別してるわけか

[0968 名無しさん＠１周年 2017/05/16(火) 01:17:23.58 ID:CO58N3Lh0]

復号ツール自体は攻撃者が持つ2048bit RSAの秘密鍵さえ分かれば全感染者共通のものが作れるけど
これはブルートフォースでは無理な強度だね

[0969 名無しさん＠１周年 2017/05/16(火) 01:19:31.51 ID:ZAUPa0mV0]

>>1
とりあえずビットコインの払い先アカウントと関係者を洗って拷問だろ常考

[0970 名無しさん＠１周年 2017/05/16(火) 01:21:16.31 ID:eZB0+cRU0]

なんかワクワクするな

[0971 名無しさん＠１周年 2017/05/16(火) 01:23:09.91 ID:AWq1ws6T0]

NHKとかランサムカンパニーだよな

[0972 名無しさん＠１周年 2017/05/16(火) 01:26:11.78 ID:kDtEFgaN0]

win7だし、アップデートエージェントも最新版だし

大丈夫だろう

[0973 名無しさん＠１周年 2017/05/16(火) 01:28:21.64 ID:my2nEZJP0]

mateでニュー速見れないんだけど関係あんの？

[0974 名無しさん＠１周年 2017/05/16(火) 01:29:10.47 ID:e+sIncaH0]

ウィルス対策ソフトを手掛けてる団体ではないだろうか？

[0975 名無しさん＠１周年 2017/05/16(火) 01:29:34.34 ID:e+sIncaH0]

>>973
板移転したからじゃねーか？

[0976 名無しさん＠１周年 2017/05/16(火) 01:29:42.54 ID:y5rt578s0]

>>916
逃げたか。歯ごたえのないやつだ。

[0977 名無しさん＠１周年 2017/05/16(火) 01:31:55.04 ID:sQCQbaD/0]

>>972
大体の人がある程度対策したら「大丈夫だろう」ってことでそれ以上考えたくなくなるんだよね

[0978 名無しさん＠１周年 2017/05/16(火) 01:32:18.25 ID:my2nEZJP0]

>>975
見れたw
ありがとう

[0979 名無しさん＠１周年 2017/05/16(火) 01:32:46.00 ID:CO58N3Lh0]

00000000.ekyをtor上のサーバに送って復号してもらって00000000.dkyとして保存し
それで各ファイルからAES鍵を取り出して復号する(というルーチンは存在する)とのこと
実際にサーバが復号してくれるのかは不明

[0980 名無しさん＠１周年 2017/05/16(火) 01:34:21.60 ID:YfakWM900]

>>970
明日になればＰＣは感染してるぞ

[0981 名無しさん＠１周年 2017/05/16(火) 01:36:06.92 ID:y5rt578s0]

>>979
脆弱性放置するような被害者に
ビットコインとTor入れろってか。
厳しすぎる。

[0982 名無しさん＠１周年 2017/05/16(火) 01:37:12.45 ID:CO58N3Lh0]

でやっぱり結論としては今回のランサムウェアは
bitcoinの支払情報と各感染者の00000000.ekyを結びつける方法がないから
結局身代金を払っても無駄なんじゃないかという

[0983 名無しさん＠１周年 2017/05/16(火) 01:37:28.67 ID:eZB0+cRU0]

脳を焼かれるうううう

[0984 名無しさん＠１周年 2017/05/16(火) 01:37:51.87 ID:CO58N3Lh0]

>>981
torへのアクセスはランサムウェアが勝手にやるよ

[0985 名無しさん＠１周年 2017/05/16(火) 01:40:27.91 ID:aIQ9YhNO0]

>>982
それ、オレオレ詐欺に送金するようなもんだろ？　復号するわけがない

[0986 名無しさん＠１周年 2017/05/16(火) 01:41:33.18 ID:aoleGwih0]

>>654のサイトを読んで、「SMBv1 を無効にする」ってのをやったんだけど、
windows7の場合、コマンドプロンプトからコマンドを入力するんだけど、
本当に無効になったかどうか、どうやったら確認できるの？

[0987 名無しさん＠１周年 2017/05/16(火) 01:42:48.75 ID:aIQ9YhNO0]

重要データは、定期的に外付けHDDにバックアップして隔離ってことなんだな。

[0988 名無しさん＠１周年 2017/05/16(火) 01:46:28.05 ID:JEkIeBNv0]

ミサイルが高く飛びました
で？
らんさむが広がりました
で？
犯人はパタリロだな

[0989 名無しさん＠１周年 2017/05/16(火) 01:48:53.83 ID:B+V15g/C0]

かかったらさっさと払うしかないな
当局は消えたデータの補償はしてくれない
ビットコインで何で銀行口座情報が知られるんだよｗ

[0990 名無しさん＠１周年 2017/05/16(火) 01:52:24.77 ID:wam02CGi0]

>>986
WannaCryに攻撃させてみる

[0991 名無しさん＠１周年 2017/05/16(火) 01:54:38.79 ID:jH8OzvHc0]

>>989
払っても無駄だけどなwこれ払う奴は相当のアホだぞ

[0992 名無しさん＠１周年 2017/05/16(火) 01:55:07.99 ID:GqpE0Ijd0]

Bitcoinのアドレスに650万円相当が集まっているな
まだ増えるだろうけど、騒がれた割に少ないような気がする

[0993 名無しさん＠１周年 2017/05/16(火) 01:56:13.50 ID:QRSkqocq0]

現在公開可能な情報

[0994 名無しさん＠１周年 2017/05/16(火) 01:56:42.05 ID:aoleGwih0]

>>990
○´∀｀)ゞﾗｼﾞｬ

[0995 名無しさん＠１周年 2017/05/16(火) 01:57:44.98 ID:aIQ9YhNO0]

>>992
XPをネットに繋いでるような人達に、ビットコインの支払いは無理じゃろう・・・

[0996 名無しさん＠１周年 2017/05/16(火) 01:59:57.30 ID:aoleGwih0]

>>992
200人弱の人（または企業）が払ったってことかな？
復元できた人はいるんだろうか？

[0997 名無しさん＠１周年 2017/05/16(火) 02:00:30.03 ID:qbnp7GgN0]

>>780
起動時のパスワードかかってたら起動できない。
HDD取り出して自分のPCにつなげて見てみようとしても、
アレな動画や画像満載とかだったらHDDのパスワードや暗号化かけてある可能性も高い。

初期化して再利用かHDD抜いて中古屋に売っちまいな。

[0998 名無しさん＠１周年 2017/05/16(火) 02:00:49.10 ID:aoleGwih0]

次
【PC】Windows XPも標的に…　異例のパッチ配布　全世界で猛威を振るうランサムウェア「WannaCry」
http://asahi.2ch.net/test/read.cgi/newsplus/1494852516/

[0999 名無しさん＠１周年 2017/05/16(火) 02:02:31.05 ID:GqpE0Ijd0]

>>996
たぶんいない
http://blog.checkpoint.com/2017/05/14/wannacry-paid-time-off/

[1000 名無しさん＠１周年 2017/05/16(火) 02:03:18.22 ID:aIQ9YhNO0]

「泣きたい」