報道のされ方としては2003年のBlasterを彷彿とさせるが、実際そこまで広がりはしまい。Blasterが悪用していたMSRPC DCOMは全てのPCで動いていたけれども、Wannacryが悪用するMS17-010はファイル共有しているPCにしか影響しない。いまどきファイルサーバー以外でSMBのportをlistenしてるPCは多くない。外からの侵入はメール添付などに限られ、メールサーバーで実行ファイルを落とせばいい。月曜には流行当初と違ってアンチウイルスでも検出できるから水際で感染を防ぐこともできる。
このランサムウェアは感染後Windowsのシステム領域を復元するためのボリュームシャドーコピーを消そうとするけれども、出荷時の設定どおりUACが設定されていれば消去のコマンドを実行する前に利用者への確認が行われる。試しにVSSの削除を拒否してシステムの復元を試してみたところ、脅迫のダイアログは出なくなったけれどもユーザーのデータまでは元に戻らないので、暗号化されたファイルまでは戻ってこない。これだけランサムウェアが流行るとWindowsはシステム領域だけでなくユーザーデータのスナップショットも取れた方がいい。いまどき大事なデータは全てクラウドに置いて、定期的にオフラインのバックアップを取って、手元のディスクはいつでもフォーマットできるようにしておくべきなのかな。
今年の世相を振り返った時に、このウイルスはひとつのエポックとして語られることになるだろうか。幸い既知の身代金振込先Bitcoinアドレスを見る限り身代金を払った人は多くなさそうだ。仮に動的にBitcoinアドレスを提示していれば送金額は膨らむのかも知れないけれども、どれくらいの亜種があるのか分からない。なるほどと感心したのは日本語を含む28ヶ国語でメッセージを表示する点で、配布前に時間と手間をかけている印象がある。
ちょっと前のランサムウェアと比べてこなれた日本語になっているのは、機械翻訳の精度が上がったからだろうか。メッセージは各国向けのものをサブディレクトリに展開してPCの環境に合う言語のテキストを表示するようになっており、国際化プログラミングとしてはやや稚拙ではあるが、亜種をつくる際に簡単に言語を追加できるとかのメリットがあるのかも知れない。
C&CサーバーにTORを使ってて簡単にプロキシで落とせないのが面倒ではあるが、真っ当な組織のネットワークであればTORごと落としても問題ないだろう。普通は重要度の高い3月の定期更新なんかとっくに当てているだろうし、それができていない組織は、アンチウイルスのシグニチャも更新できていない。以前から懸念されていたことではあるが、インターネットから隔離することで安全を確保するとしてきたシステムは、どれだけ迅速に脆弱性の修正やアンチウイルスのシグニチャ配信を実施できるのか再確認した方がいい。大規模感染した英国の医療機関はいまだにWindows XPを使っていたというし、この程度の手口でもこれだけの大騒ぎになるということは、全てのPCに影響するゼロデイを使ったウイルスでも撒かれた日には、こんな騒ぎじゃ済まないだろうということだ。
この十数年でOSの機構もアンチウイルス、他にも様々なセキュリティー製品が出てきて、どこまで手を出すか悩ましいところだけれども、そういう世界とは別に未だにWindows XPを使っていたり、Windows Updateやアンチウイルスもまともに更新せず、ファイアーウォールの内側だから大丈夫だろうと騙し騙し運用している「取り残されたシステム」があって、それがどうでもいいシステムだけでなく、けっこう人命や社会基盤に関わる組織だったりすることを今回の事故は浮き彫りにしている。
この程度の攻撃でこれほどの被害が出てしまうとは、なかなか世の中が教科書通りに回ってない証左だろうし、何故そういったシステムが残っているのか、それらが取り残された理由を調べていくと、技術とかサイバーセキュリティーの観点とは別に、予算が逼迫しててシステム更改予算を確保できないとか、当然やるべきことを推進できる人材がいないとか、古いアプリケーションを保守できず互換性のためにセキュリティー設定を弱めざるを得ないとか、PCではなく組み合わせる機器の動作保証がないとか諸々の事情があるだろうし、自業自得だとバカにしたところで改善しない深刻な現実が横たわっている。セキュリティーというと人材育成やら研究開発やら華やかな話ばかりが先行しているけれども、関わったところで儲かりそうもない「取り残されたシステム」の外部不経済をどうしていくかは実に悩ましい。