ランサムウェアWannaCry（2017年）- 全世界に警鐘を鳴らしたサイバー攻撃

WannaCryランサムウェア攻撃（2017年）- 全世界に警鐘を鳴らしたサイバー攻撃

今から遡ること8年前の 2017年5月12日、世界はサイバー攻撃史上、最も破壊的な出来事の一つであるWannaCryランサムウェアの大発生を目の当たりにしました。

わずか1日で、この攻撃は150カ国以上に広がり、数十万台のコンピューターを感染させました。英国の病院は手術を中止し、グローバル企業はシャットダウンに追い込まれ、各国の政府は被害の封じ込めに奔走しました。

日本でも、日産や日立といった大企業が高額な損害を伴う操業停止に見舞われました。

大発生から 8年が経過した今も、WannaCryはサイバーセキュリティにおける決定的なケーススタディとして語り継がれています。それは、システムのパッチ適用とランサムウェアへの備えが、デジタル時代で生き残るためにいかに重要かを、私たちに痛感させた事件です。

WannaCryとは何か？

WannaCryは、ファイルの暗号化と、脆弱な他のマシンへの自己増殖の両方を行うマルウェア、「ランサムウェア・ワーム」の一種です。

• 身代金の要求： 300ドル相当のビットコイン。3日後には600ドルに倍増。
• 脅迫内容： 7日以内に支払わなければ、ファイルを永久に削除すると脅迫。
• 被害者の画面： ビットコインのアドレスとタイマーが表示された、赤い脅迫文。

WannaCryを他に類を見ないほど破壊的なものにしたのは、その自己増殖能力でした。フィッシングメールを介して広がる従来のランサムウェアとは異なり、WannaCryは人間の操作を一切介さずにネットワーク全体へ感染を広げることができました。

WannaCryの感染経路

WannaCryは、Microsoft WindowsのSMB（サーバーメッセージブロック）プロトコルを標的とする、「EternalBlue」と呼ばれる強力なエクスプロイト（脆弱性攻撃コード）を使用していました。

• EternalBlueは、元々NSA（アメリカ国家安全保障局）の秘密のサイバー兵器として開発されました。
• 2017年4月、「Shadow Brokers」と名乗るハッカー集団が、これをオンライン上にリークしました。
• サイバー犯罪者たちは、即座にEternalBlueをWannaCryに統合しました。

これにより、WannaCryはワーム（虫）のように広がる能力を得ました。一台のコンピューターに感染すると、ネットワークをスキャンし、自動的に他のコンピューターへと飛び移っていったのです。

感染の規模

• 発生日： 2017年5月12日
• 影響国： 150カ国以上
• 感染台数： 全世界で30万〜40万台

世界の主な被害組織

• 英国の国民保健サービス（NHS）： 医師は患者の記録にアクセスできなくなり、救急車は行き先を変更、19,000件以上の予約がキャンセルされました。
• スペインのテレフォニカ： 欧州最大級の通信会社の一つが被害に遭いました。
• FedEx（米国）： 配送業務が深刻な影響を受けました。
• ルノー＆日産： 複数の自動車工場が生産停止を余儀なくされました。
• ドイツ鉄道（ドイツ）： 駅のディスプレイやシステムが侵害されました。

日本国内におけるWannaCryの影響

日本もこの攻撃の例外ではありませんでした。国内最大級の企業が大きな打撃を受けました。

• 日産自動車株式会社
  • 栃木工場を含む、国内の複数の日産工場が一時的に生産を停止せざるを得なくなりました。
  • この攻撃はサプライチェーンを混乱させ、車両の製造に遅れを生じさせました。
• 株式会社日立製作所
  • 日立は、社内のEメールやITシステムに障害が発生したと報告しました。
  • このランサムウェアは業務を妨害し、製造の連携やコミュニケーションに遅延を引き起こしました。
• その他の組織
  • 中小の物流会社やサービス会社もITシステムの障害を報告しましたが、日本の重要な医療サービスは、英国のNHSほど深刻な影響は受けませんでした。

日本での経済的損害

• 主に日産と日立の工場停止や復旧作業により、数千万ドル（数十億円）規模と推定されています。
• 日本の内閣サイバーセキュリティセンター（NISC）は緊急警報を発令し、企業にMicrosoftの緊急パッチを適用するよう指示しました。
• この事件は、日本の産業界や政府で依然として使用されていた旧式のWindowsシステムに関する深刻な議論の引き金となりました。

身代金の要求

感染すると、被害者の画面には以下の要求を突きつける脅迫文が表示されました。

• 復号のために300ドル相当のビットコイン
• 3日以内に支払わなければ600ドルに倍増
• 7日後にはデータを永久に失うという脅迫

実際に集まった身代金の総額

• 攻撃者が受け取ったのは、約14万ドル（当時のレートで約52BTC）に過ぎませんでした。
• 全世界で数十億ドルに上る損害額と比較すると、身代金の収益はわずかでした。

ほとんどの組織は、バックアップがあったか、あるいは支払ってもファイルが復号される保証がないため、支払わないことを選択しました。

WannaCryを止めた「キルスイッチ」

この大流行は、もっと深刻な事態になり得ましたが、偶然にも食い止められました。

• 英国の研究者、マーカス・ハッチンズ氏（MalwareTech）は、WannaCryが実行される前に、無意味なドメイン名にアクセスを試みていることを発見しました。
• 彼がそのドメインを約10ドルで登録したところ、それが意図せずして「キルスイッチ」（緊急停止スイッチ）として作動しました。
• この行動により、感染の拡大は劇的に遅くなりましたが、後に亜種も登場しました。

この発見がなければ、さらに数百万台のマシンが感染していたかもしれません。

全世界での経済的損害

身代金の支払額は少額でしたが、本当のコストはダウンタイム、生産性の損失、そして復旧作業から生じました。

• 全世界での総損害額： 40億〜80億ドル
• 英国 NHS： 治療のキャンセルやシステム復旧を含め、9200万ポンドの損害。
• FedEx： 「重大な」財務的影響があったことを認めました。
• ルノー＆日産： 欧州と日本で工場が停止。
• 日立＆日産（日本）： 数千万ドル規模の逸失利益と復旧コスト。

WannaCryの背後にいたのは誰か？

複数の国の政府は後に、WannaCryの攻撃は北朝鮮の国家支援ハッカー組織「ラザルス・グループ」によるものだと断定しました。

• 断定した国： 米国、英国、日本など。
• 考えられる動機：
  • 金銭目的： ビットコインの身代金を通じて資金を調達する。
  • 政治目的： 北朝鮮のサイバー能力を誇示する。

復旧と対応

マイクロソフト社の役割

• マイクロソフトは、攻撃の2ヶ月前にパッチ（MS17-010）をリリースしていました。
• 多くの組織がこれを適用していなかったため、脆弱な状態のままでした。
• 大発生後、マイクロソフトは公式にサポートを終了していたWindows XP向けにも、緊急パッチを異例の措置として公開しました。

被害者の復旧

• オフラインのバックアップを持っていた組織は、比較的迅速に復旧しました。
• バックアップがなかった被害者は、データを永久に失うことが多くありました。
• 身代金を支払ってファイルの復号に成功したケースは、ほとんどありませんでした。

WannaCryから得られた教訓

• １．パッチは早期に、そして頻繁に
  • アップデートの遅れが、WannaCryがこれほどまでに広がった最大の理由でした。
• ２．バックアップは命綱
  • オフラインまたはクラウドのバックアップが、迅速な復旧を可能にしました。
• ３．重要インフラは常にリスクに晒されている
  • 医療、交通、製造業といった社会基盤がすべて混乱に陥りました。
• ４．国家が開発したツールは逆効果になりうる
  • EternalBlueは政府が開発したエクスプロイトでした。一度漏洩すれば、それは世界的な武器となります。
• ５．グローバルな連携が不可欠
  • サイバーセキュリティは、国や業界を越えた共通の責任です。

2025年におけるWannaCryの遺産

8年が経過した今も、WannaCryは現代に深く関わっています。

• 一部の未パッチのWindowsシステムは、依然として脆弱なままです。
• この攻撃は、サイバー保険、インシデント対応チーム、そしてSOC（セキュリティオペレーションセンター）の導入を加速させました。
• 各国政府がサイバー兵器と、エクスプロイトを保有するリスクについて考え直すきっかけとなりました。
• 現代のランサムウェアが用いる「二重恐喝」（暗号化の前にデータを窃取する）戦術は、WannaCryがもたらした巨大なインパクトに触発されたものです。

最後の考察

2017年のWannaCryランサムウェア攻撃は、サイバーセキュリティの歴史における画期的な出来事として記憶されています。

• それ以前のどのランサムウェアよりも速く広がりました。
• 日本の日産や日立を含む、全世界で数十億ドルの損害を引き起こしました。
• パッチを無視し、古いシステムに依存する危険性を白日の下に晒しました。
• そして、一人の研究者の幸運な発見が、世界的なサイバーパンデミックを食い止めることができると示しました。

2025年の組織にとって、WannaCryの教訓は明確です。

手遅れになるまで待ってはいけません。攻撃が来る前に、パッチを当て、バックアップを取り、ランサムウェアに備えるのです。

投稿者プロフィール

イシャン ニム

Offensive Security Engineer
15年以上の実績を持つ国際的なホワイトハッカーで、日本を拠点に活動しています。「レッドチーム」分野に精通し、脆弱性診断や模擬攻撃の設計を多数手がけてきました。現在はCyberCrewの主要メンバーとして、サイバー攻撃の対応やセキュリティ教育を通じ、企業の安全なIT環境構築を支援しています。
主な保有資格：
● Certified Red Team Specialist（CyberWarFare Labs / EC-Council）
● CEH Master（EC-Council）
● OffSec Penetration Tester（Offensive Security）

最新の投稿

• ダークウェブ2025.09.02闇に晒された企業情報：ダークウェブに漏洩した認証情報の実態
• LLM/生成AI2025.08.25AIペネトレーションテスト企業トップ10選【2025年版】
• LLM/生成AI2025.08.25LLM01:2025 プロンプトインジェクション完全解説｜生成AI時代の新しい脆弱性と対策
• LLM/生成AI2025.08.25AI基盤を保護する「データセット・ペネトレーションテスト」