WanaCryのその後

現在、インターネット上に、WanaCryというウイルスで利用されたWindowsの脆弱性を利用してウイルスなどを感染させようとする通信が定常的に存在しています。

このことはよく理解していたのですが、最近驚くべきことに気が付きました。

そのことに触れる前に、WanaCryというのはどういうウイルスかを説明しておきましょう。

• WanaCryは、見かけ上ランサムウェアです。
  　　ランサムウェアは（一般的に）PCやスマホ上のファイルや情報を人質（？）に身代金を要求します。
  　　よくある例は、ファイルを暗号化し使えない状態にしたうえで、「復号して（戻して）ほしければ仮想通貨で身代金を払え」と表示します。
  　　WanaCryもこの動きをします。
• WanaCryは、身代金を払ってもファイルを取り戻せません。
  　　WanaCryは、ファイルを暗号化しているようですが、復号に必要な情報をその場で破棄しているため、誰にもファイルを復号（取り戻すことは）できません。
• WanaCryはNSAから漏えいしたとされている「PCなどにユーザの許可なくプログラムを送り込み実行するツール」を利用しています。
  　　このツールは、ネットワークに接続されていて直接通信可能でかつ、特定の条件を満たした場合、「PCなどにユーザの許可なくプログラムを送り込み実行すること」に成功します。
  　　マイクロソフトは、この問題に対応するためのWindows向け修正プログラムを3月に提供しています。
  　　提供していれば、新たに感染することはありません
• WanaCryには、「キルスイッチ」という機能があり、特定のURL（http://~~~のようなアドレス）の機能していると暗号化と称する「破壊活動」を行いません。
  　　但し、PC感染活動は継続します。
  　　現在、 「キルスイッチ」は機能しています。

---

さて、今インターネットで何が起きていたかというと、

実は、「キルスイッチ」があるために「破壊活動」を行わず、潜伏状態にある「WanaCry」が感染を通信しまくっているのです。

先週も、インターネットに直接接続したPCを感染させることに成功しました。

皆さんも家庭内のネットワークを確認してみてください。

以下のファイルやサービスがあったら感染していると思ってください。

ファイル：

　C:\Windows\mssecsvc.exe

サービス：

　Microsoft Security Center (2.0) Service

亜種もありますので、とりあえず、ウイルス対策ソフトで検索しましょう。

ということで、

では(^^)／~~~