ニュース

Microsoft、異例のWindows XP向けパッチ配布。全世界で猛威を振るうランサムウェア対策用

WannaCryの画面

 米Microsoftは、既に2014年4月にサポートが終了しているWindows XP SP3向けにパッチ「KB4012598」を配布した。

 TechNetのブログによると、今、全世界でEternalBlueと呼ばれるSMBv1のゼロデイ脆弱性を使ったランサムウェア「WannaCry」が大流行しているという。TechNetの分析によると、このランサムウェアの動作は下記のようになる。

 まずドロッパーはEternalBlueを使い、SMBv1の脆弱性を突いてトロイの木馬としてコンピュータに侵入し、特定のドメインに接続を試みる。接続が成功すると動作が停止し、感染やほかのシステムへの侵入/拡大を停止。一方で接続が失敗すると、プロセスがランサムウェアをダウンロードし、システムにサービスを作成する。

 逆に言えば、企業やISPレベルでこのドメインへのアクセスを停止させると、このランサムウェアの感染を逆に広げてしまう動作になっているわけだ。

 侵入が成功すると、mssecsvc2.0と呼ばれるプロセスを立ち上げ、“Microsoft Security Center (2.0) Service”として偽装。その後、レジストリにシステム起動時に自動起動するように仕掛け、独自のワーキングディレクトリを作成し、そこに各種言語のパックとともにプログラムを作成する。

 その後、JPEGやDOC、AVI、WMVといったユーザーデータを対象に暗号化を開始。暗号化が成功すると、そのデータを“人質”に金銭を要求してくる。

 このSMBv1の脆弱性は、Windows Vista/7/8.1/RT 8.1/10、およびServer 2008/2008 R2/2012/2012 R2/2016では、すでに3月15日に配布されたパッチで修正されている。しかし全世界的に、未だにWindows XPなどを使っている企業などがあり、さらなる感染拡大を防ぐために異例の処置を採ったようだ。

 なお、この攻撃コードはパッチの適用されていないWindows 7/Server 2008以前のシステム用に書かれており、Windows 10は影響を受けない。

 Windows XP SP3以外にも、Windows XP Embedded向けに同じパッチが配布されているが、ファイル名を見れば分かるとおり共通のものであり、主にEmbeddedをターゲットに設計されているようだ。ファイルサイズは670KBとなっている。