サイバー脅威の世界では、攻撃手法が大きく変化しています。従来のように端末上で目立つマルウェアを実行するのではなく、高度な攻撃者は正規のネットワークプロトコルを悪用し、遠隔操作による検知回避型の攻撃を行うようになっています。その代表例が、WantToCry ランサムウェアです。
Sophos Counter Threat Unit Research Team の技術調査によると、WantToCry はインターネットに公開された SMB(Server Message Block)ポートを悪用します。攻撃者は認証済みのリモート SMB セッション内で動作し、ファイルを外部へ送信した後、自身の C2(Command & Control)インフラ上で暗号化を実行し、暗号化済みデータを再び被害端末へ書き戻します。
この攻撃では、被害端末上で不正コードが実行されないため、従来型の EDR(Endpoint Detection and Response)やアンチウイルス製品では異常な挙動を検知できないケースがあります。本記事では、WantToCry のリモート暗号化攻撃の仕組みを解説するとともに、WannaCry との違い、さらに Visuality Systems がどのように SMB レベルの脅威を軽減するのかを紹介します。
WantToCry のリモート暗号化攻撃の仕組み
従来型のランサムウェアは、端末上で直接マルウェアを実行し、ローカルファイルを暗号化していました。一方、WantToCry は、システム外部で暗号化を実行する「オフシステム型」の攻撃方式を採用しています。この構造により、被害端末上に残る痕跡を最小限に抑えています。
1. 調査・インターネットスキャン
攻撃は、ファイル共有サービスを対象とした大規模な自動スキャンから始まります。攻撃者は TCP 445 および TCP 139 ポートで公開されている SMB サービスを探し、インターネット上の IPv4 アドレスを継続的にスキャンします。 Sophos が引用した Shodan の調査によると、世界全体で 150 万件以上の SMB ポート公開が確認されており、そのうち 60 万件以上が米国内に存在していました。
2. 認証情報へのブルートフォース攻撃
公開 SMB ポートを発見すると、攻撃者は高度な脆弱性エクスプロイトを利用するのではなく、自動化されたブルートフォース攻撃(パスワード総当たり攻撃)を実施します。 100 万件以上のパスワードデータベースを利用し、以下のようなパスワードでアクセスできるシステムを狙います。
– デフォルトパスワード
– 推測しやすい弱いパスワード
– 他サービスとの使い回しパスワード
3. 正規 SMB セッションによるファイル窃取
認証に成功すると、攻撃者は正規のSMBセッションを確立します。 その後、通常の SMB 読み取りコマンドを利用して、共有フォルダやNAS(Network Attached Storage)からドキュメントやデータベースを外部へ送信します。 なお Sophos の調査では、現時点では盗み出したファイルが「二重脅迫(ファイルを盗んで暗号化し、金を払わなければ公開すると脅迫する手法)」に利用された証拠は確認されていません。
4. 外部サーバーでの暗号化と書き戻し
WantToCry の最大の特徴は、暗号化処理を攻撃者側のC2(Command & Control)サーバー上で実行する点です。 盗み出されたファイルは外部で暗号化された後、同じSMBセッションを通じて書き戻されます。攻撃者は SMB 書き込み処理を利用して、元のファイルを暗号化済みファイルへ上書きします。
暗号化されたファイルには「.want_to_cry」という拡張子が付けられ、被害を受けた各フォルダには「!want_to_cry.txt」という身代金要求ファイルが作成されます。 そのファイルには、qTox や Telegram を通じて攻撃者へ連絡するよう記載されており、要求される身代金は通常 300〜1800ドル相当の Bitcoin です。
Sophos の調査では、攻撃インフラとして複数の IP アドレスが確認されており、ブルートフォース攻撃はロシアのホスティング事業者(185.189.13.56)から実施され、暗号化済みファイルの書き戻しはドイツ、アメリカ、シンガポールに配置された仮想マシン経由で行われていたことが確認されています。
技術的アプローチの違い:WannaCry と WantToCry
WantToCry という名称は、2017 年に世界的大流行を引き起こしたWannaCry を連想させます。しかし、実際の攻撃方式は大きく異なります。
項目 | WannaCry (2017) | WantToCry (2024–2026) |
侵入方法 | 未修正ソフトウェアの脆弱性を悪用(EternalBlue など) | 公開 SMB サービスに対するパスワード総当たり攻撃 |
対象プロトコル | 古い SMBv1(CIFS)のみ | SMB1 / SMB2 / SMB3 を含むあらゆる SMB セッション |
実行方式 | 被害端末上でマルウェアを実行 | 外部サーバー側で暗号化を実行し、端末上では実行しない |
ファイル操作 | Windows API を使ってローカルで暗号化 | SMB 通信を利用してファイルを取得・上書き |
拡散方法 | 自己増殖型ワーム | 個別ターゲットへの直接アクセス |
検知されやすさ | EDR・アンチウイルスで比較的検知しやすい | 通常のSMB通信に見えるためEDRでは検知困難 |
プロトコルレベルでの防御とセキュリティ強化
WantToCry のようなリモート暗号化型ランサムウェアは、従来のシグネチャベースのアンチウイルスや EDR を回避できる可能性があります。
そのため、この脅威への対策には、「端末防御」だけでなく、「ネットワークプロトコルレベルでの防御強化」が重要になります。
SMB ポートの非公開化とアクセス制限
ファイル共有用ポートをインターネットへ公開することは、重大なセキュリティリスクです。特に以下の SMB ポートは、外部からアクセスできないようにする必要があります。
- TCP 445
- TCP 139
ファイアウォールでこれらのポートへの外部アクセスを遮断し、共有リソースへのリモート接続は、以下のような安全な経路のみに限定すべきです。
- VPN(Virtual Private Network)
- ZTNA(Zero Trust Network Access)
認証とアクセス制御の強化
SMBのゲストアクセスや匿名アクセスは無効化する必要があります。また、ブルートフォース攻撃を防ぐため、厳格なアカウントロックポリシーを導入することが重要です。
Visuality Systems によるインフラ保護
SMB プロトコルの専門企業であるVisuality Systemsは、ファイル転送時のセキュリティを強化し、WantToCry のような攻撃で悪用されるネットワーク経路を保護する、商用 SMB ソフトウェアスタックを提供しています。
SMB over QUIC による TCP 445 の防御
WantToCry のような攻撃では、まずインターネット上に公開された SMB ポートがスキャン対象になります。
Visuality Systems は、このリスクを軽減するために、YNQ および jNQ 向けの SMB over QUIC アドオンを提供しています。さらに、セキュリティ強化のための高度な設定オプションも利用可能です。
SMB over QUIC では、従来の TCP 445 の代わりに、TLS 1.3 を利用した UDP 443 通信を使用します。
これにより、以下のようなセキュリティ強化を実現できます。
- TCP 445 をインターネットから隠蔽
Shodan や Censys などのスキャンサービスは、通常 TCP 445 の公開状況を検索対象としています。SMB over QUIC を利用することで、TCP 445 を完全に閉じたまま SMB 通信を行えるため、インターネット上から SMB サービスが見えなくなります。 - 代替ポートによる攻撃回避
QUIC をすぐ導入できない既存環境やハイブリッド環境向けに、Visuality Systems はカスタムポート設定にも対応しています。SMB 通信を標準ポートから変更することで、自動化されたブルートフォース攻撃ツールによる標的化を困難にします。 - 匿名アクセスや横展開攻撃を防止
WantToCry のような攻撃は、ゲストアクセスや弱い認証設定を狙うケースが多くあります。ゲストアクセスを無効化し、認証済みユーザーのみアクセスできるよう厳格な権限管理を行うことで、
- 不正なネットワーク探索
- ディレクトリ構造の調査
- 社内ネットワーク内での横展開(Lateral Movement)
を防止できます。
- VPN に依存しない安全なリモートアクセス
QUICは、エンドツーエンドで暗号化された安全な通信トンネルをネイティブに提供します。これにより、従来型 VPN のような、- 複雑な設定
- 遅延
- 攻撃対象領域の増加
を回避しながら、安全なインターネット経由ファイルアクセスを実現できます。
お問い合わせ・技術相談
Visuality Systems では、SMB セキュリティ強化や SMB over QUIC 導入について、エンジニアチームによる技術サポートを提供しています。
- 無償評価 – YNQ および jNQ 商用ライブラリを、お客様の開発環境で評価いただけます。
- 技術コンサルティング – 専門のエンジニアが、安全な SMB プロトコル移行やセキュリティ強化に向けた導入ロードマップ策定をサポートします。
- お問い合わせ – 技術的なご相談は、以下までお気軽にお問い合わせください。 [email protected].
Lilia Wasserman, VP R&D, Visuality Systems
