2017年5月12日発生の世界規模ランサムウェア。Windows EternalBlue 脆弱性悪用 + 150カ国 23万台感染・「ランサムウェア史上最大規模」.
WannaCry は 2017年5月12日発生した世界規模ランサムウェア。Windows SMBv1 EternalBlue 脆弱性 (NSA 漏洩 + ShadowBrokers 公開) 悪用 + 150カ国 23万台感染・身代金 BTC $300-$600・英 NHS + ロシア内務省 + FedEx + 日産 + ホンダ等の主要組織麻痺・北朝鮮 Lazarus Group 関与・「ランサムウェア史上最大規模 + 国家関与マルウェア」。WannaCry は2017年5月12日 8:24 (UTC) スペインの Telefónica 感染確認後 急速拡散で、「Windows SMBv1 EternalBlue 脆弱性 + Worm 機能 + ランサムウェア機能」で150カ国 23万台感染 + 6 時間で世界中拡散。WannaCry の革新点: ① EternalBlue (CVE-2017-0144) は米 NSA が秘密保持していた Windows SMBv1 脆弱性 + 2017年4月 ShadowBrokers がリーク + 1ヶ月後 WannaCry が悪用 ② Worm 機能 で人介在不要 + LAN + WAN を自動拡散 + メール + USB + ユーザ操作不要 ③ ランサムウェア機能 でファイル AES-128 + RSA-2048 暗号化 + 身代金 BTC $300-$600 要求 ④ 2017年5月12日 8:24 (UTC) 初感染 → 同日午後 世界中 23万台感染 (6時間で拡散) ⑤ キル スイッチ発見 (英セキュリティ研究者 Marcus Hutchins・MalwareTech) で同日 拡散停止。主要被害組織: ① 英 NHS (National Health Service・$92M 損失・手術中止 + 救急車回送) ② ロシア内務省 (1,000台感染) ③ FedEx (北米事業停止・$300M 損失) ④ 日産 (英国工場停止) ⑤ ホンダ (狭山工場停止) ⑥ ドイツ鉄道 (券売機停止) ⑦ 総被害$4-$8B (推定・史上最大規模)。国家関与: ① 北朝鮮 Lazarus Group (Hidden Cobra・偵察総局 121局) がWannaCry 開発関与 ② 2017年12月 米国政府 + 英国政府 + 日本政府公式声明で北朝鮮 Lazarus Group 関与認定 ③ 2018年9月 米国 司法省 北朝鮮 Park Jin Hyok を WannaCry + Sony Pictures + バングラデシュ中央銀行$81M 強奪 で起訴。
| ランサムウェア | 発生 | 感染規模 | 身代金 | 国家関与 |
|---|
| WannaCry | 2017年5月 | 150カ国 23万台 | BTC $300-$600 | 北朝鮮 Lazarus |
| NotPetya | 2017年6月 | ウクライナ + 世界 | BTC $300 | ロシア軍 GRU |
| Ryuk | 2018年8月-現在 | 米国主流 | BTC $100K-$1M | ロシア Conti |
| LockBit | 2019年9月-2024年2月 (LE 摘発) | 世界 | BTC $50K-$50M | RaaS |
| REvil/Sodinokibi | 2019-2021 | 世界 | BTC $1M-$70M | RaaS |
WannaCry は2026年現在 「ランサムウェア史上最大規模事件 + 北朝鮮 Lazarus Group 関与認定」。重要な歴史: ① 2017年4月 ShadowBrokers が NSA 漏洩 EternalBlue 脆弱性公開 ② 2017年3月 Microsoft MS17-010 パッチ公開 (NSA から事前通知) ③ 2017年5月12日 8:24 UTC スペイン Telefónica 初感染 ④ 同日午後 150カ国 23万台拡散 (6時間) ⑤ 同日 英 Marcus Hutchins キル スイッチ発見 + 拡散停止 ⑥ 2017年12月 米国政府 + 英国政府 + 日本政府公式声明 北朝鮮 Lazarus Group 認定 ⑦ 2018年9月 米国司法省 北朝鮮 Park Jin Hyok 起訴 (WannaCry + Sony Pictures Hack 2014年 + バングラデシュ中央銀行$81M 強奪 2016年)。重要な教訓: ① NSA + サイバー兵器 (EternalBlue) 漏洩リスクでShadowBrokers 漏洩から 1ヶ月で世界規模ランサムウェア化 ② パッチ未適用 Windows XP/Server 2003 でサポート終了 OS 利用組織 (NHS + ロシア内務省 等) 大被害 ③ Worm + ランサムウェア複合型 でメール + USB + ユーザ操作不要 + LAN + WAN 自動拡散 ④ キル スイッチ (Marcus Hutchins 発見) は偶然 でMarcus Hutchins は2017年8月 別 マルウェア (Kronos バンキング マルウェア) 開発罪で米 FBI 逮捕 ⑤ 2017-2026年 ランサムウェア業界主流化 でRyuk (2018年) + LockBit (2019年) + REvil (2019年) + Conti (2020年) + 主要 RaaS (Ransomware-as-a-Service) ビジネスモデル確立。
Q1: なぜ拡散できた? A: ① EternalBlue (NSA 漏洩 SMBv1 脆弱性) ② Worm 機能 (人介在不要 + 自動拡散) ③ パッチ未適用 Windows XP/Server 2003 大量残存 ④ 2017年3月 Microsoft パッチ後 1.5ヶ月で WannaCry 発生 + 多くの組織がパッチ未適用。
Q2: キル スイッチとは? A: 英 Marcus Hutchins (MalwareTech) が WannaCry コード解析中に発見した未登録ドメイン・ドメイン登録 ($10.69) で WannaCry の自己停止メカニズム発動 + 同日午後 拡散停止 + 数十万台の追加感染防止。
Q3: 北朝鮮関与の証拠? A: ① WannaCry コードと Lazarus Group の以前のマルウェア (Sony Hack 2014 + バングラデシュ中央銀行 2016) との類似性 ② Lazarus グループ独自暗号化ライブラリ ③ コンパイル時刻 (北朝鮮 標準時) ④ 米国政府 + 英国政府 + 日本政府公式声明 (2017年12月) ⑤ 2018年9月 米国司法省 Park Jin Hyok 起訴。