［シンガポール １６日 ロイター］ - わずか数時間で１００カ国以上に拡散した身代金要求型ウイルス「WannaCry（ワナクライ）」。それはどのように始まり、これほど急速に拡散したのか。なぜハッカーたちがそれほど金を稼いでいないのか──。

５月１６日、わずか数時間で１００カ国以上に拡散した身代金要求型ウイルス「WannaCry」はどのように始まり、これほど急速に拡散したのか。写真は、ノートパソコンを持つフードをかぶった人。ワルシャワで１３日撮影（２０１７年 ロイター/Kacper Pempel）

従来攻撃との違いに、サイバーセキュリティーの専門家は驚きを隠さない。

一部の専門家がワナクライによる攻撃が北朝鮮と関連がある可能性を示す証拠があるとする一方、他の専門家はより慎重な姿勢を見せており、第１段階としてはまずワナクライ自体に関する最も基本的な疑問を解明することだと主張している。

そもそもワナクライがどのように拡散したのか、専門家はいまだに解明していないと、ＩＢＭセキュリティーのカレブ・バーロー氏は指摘する。大半のサイバーセキュリティー会社は、正規の電子メールを装った、悪意のある添付ファイルやリンクを含むフィッシングメールが感染の原因だとしている。

身代金要求型ウイルス（ランサムウエア）のほとんどはそのような方法で被害者のコンピューターに入り込む。

だがワナクライの厄介な点は、３月１日までさかのぼって１０億件を超えるメールを掘り返しても、バーロー氏のチームはワナクライによる攻撃に関連する証拠を１つも見つけることができなかったことだ。

「ネットワーク内で被害者が１人出れば、感染は拡大する」と、バーロー氏は、マイクロソフトの基本ソフト（ＯＳ）「ウィンドウズ」のぜい弱性について電話でこう述べた。

米国家安全保障局（ＮＳＡ）は、「エターナル・ブルー」と呼ばれるハッキングツールを構築するため、マイクロソフトのぜい弱性を利用した。だが結局、それは謎のハッカー集団「シャドー・ブローカーズ」の手に渡り、他のツールも含めインターネット上に放出された。

しかし謎なのは、それぞれのネットワークで最初の被害者がどのように感染したのか、という点だ。「スキャンしても全く痕跡が見つからないというのは統計的に極めて異例だ」とバーロー氏は語った。

他の専門家もバーロー氏に同意する。「今のところ、ワナクライによる攻撃を最初に受けたことを示す明らかな証拠はない」と、デル傘下のＲＳＡセキュリティのブディマン・ツジン氏は述べた。

悪意のあるソフトウエア（マルウエア）がいかに感染し、拡散するかを知ることは、現在横行する攻撃を阻止するだけでなく、新たな攻撃を予期するうえで鍵となる。

＜微々たる身代金＞

一方、一部のサイバーセキュリティー会社は、フィッシングメールを数件確認したという。ファイア・アイFEYE.Nは、同社のリポートを利用した顧客が、成功裏に攻撃に関連したメールを特定したことを明らかにした。

同時に、他の攻撃ほど、ワナクライがフィッシングメールに依存していないことも同社は認めている。ある一定数、感染すれば、マイクロソフトのぜい弱性を利用して自己増殖が可能だという。

また、今回の攻撃が通常の身代金要求型の攻撃とは違うことを示す意外な理由はほかにもある。入手した証拠によれば、ハッカーが得た身代金の額は微々たるものだ。そのほとんどが仮想通貨ビットコインである。

使用されたビットコインウォレットはわずか３つしかなく、感染拡大にもかかわらず、これまでのところ５万ドル（約５６０万円）程度しか稼いでいない。バーロー氏によると、他の身代金要求型ウイルスには１回の支払い額がそれよりも高額なものもあり、被害者によって額が異なるという。

ビットコインの支払いを監視するChainalysisのジョナサン・レビン氏は、大半の身代金型ウイルスと比較して、ほかにも異なる点があると指摘。例えば、被害者が支払うよう説得するといった、これまで使われてきた高度な方法が欠如しているという。

レビン氏によると、ハッカーに支払われたビットコインはまだ手つかずでウォレットにあるという。ロッキーと呼ばれるウイルスによる攻撃では、被害額は１５００万ドルに上り、ビットコインウォレットも定期的に空になっていた。

洗練さの欠如は、今回の攻撃が北朝鮮と関連する可能性を示す証拠を発見したと主張するサイバーセキュリティー専門家らを後押しするかもしれない。

北朝鮮がランサムウエアの開発やテストを開始したのは昨年８月以降だと、韓国のHauri Labsでシニアリサーチャーを務めるサイモン・チョイ氏は１６日語った。韓国のショッピングモールから盗んだ顧客情報と引き換えにビットコインを要求するケースもあったという。

北朝鮮のハッキング能力について広く調査しているチョイ氏は、自身の発見が、米シマンテックSYMC.Oと露カスペルスキーの発見と一致すると主張する。２社は、初期のワナクライに使われた一部のコードが、北朝鮮のサイバー部隊とみられているラザラス・グループが使用したプログラムにも出てくると指摘している。

とはいえ、複数のサイバーセキュリティー会社によると、ラザラスは他のハッカーよりも金銭目当てである傾向が強く、過去にもバンクラデシュ中央銀行から８１００万ドルを盗んだ疑いが持たれている。米国は、２０１４年にソニー・ピクチャーズに対しサイバー攻撃を行ったとしてラザラスを非難している。

今回の攻撃の背後に誰がいようと、ハッカーが自由に入手できるツールをこれほど効果的に利用したそのやり方こそ何よりも懸念されるべきだと、香港のプライスウォーターハウス・クーパース（ＰｗＣ）でサイバーセキュリティーパートナーを務めるマリン・イベジク氏は指摘する。

独自のランサムウエアとともに、ＮＳＡから得たツールを世間に放出することによって、「彼らは従来の方法では成し得なかったほど広範囲に配布することができた」とイベジク氏。

「エターナル・ブルー（ハッキングツール）はワームの一種とみられるランサムウエアのＲＯＩ（投資利益率）を明らかにした。これはサイバー犯罪研究の中心となるだろう」

（Jeremy Wagstaff記者 翻訳：伊藤典子 編集：下郡美紀）