WannaCry ── NSA 流出ツールが世界を襲ったランサムウェア

2017年5月12日（金）、 ロンドンの病院から、 スペインの通信大手 Telefónica、 ドイツ鉄道（Deutsche Bahn）の駅構内案内板、 ロシア内務省、 中国の大学キャンパス、 日産の英国工場まで ── 世界 約150か国・推定30万台超 の Windows マシンが、 数時間のうちに一斉に動作を停止し、 画面に同じ赤い警告を表示した ── 「Ooops, your files have been encrypted!」。

身代金は Bitcoin で約300ドル相当。 ファイル復号の保証はない。 これが WannaCry（別名 WCry、 WanaCryptor 2.0）、 史上もっとも広範囲に拡散したランサムウェアであり、 サイバーセキュリティの構造的問題を一度に複数浮き彫りにした事件である。

三つの構成要素

WannaCry を作ったのは、 (a) NSA の流出ツール、 (b) Microsoft のレガシー脆弱性、 (c) パッチを当てていない無数のホスト ── という3層の組み合わせだった。

EternalBlue（NSA 流出ツール）: NSA の侵入部隊 Tailored Access Operations（TAO） が長年使っていたとされる、 Windows SMBv1（Server Message Block、 ファイル共有プロトコル）に対するリモートコード実行エクスプロイト。 これを2017年4月14日に Shadow Brokers と名乗る正体不明の集団が一括公開した（彼らは2016年8月以降、 NSA のツール群を段階的に公開していた）。

Microsoft の脆弱性 MS17-010 / CVE-2017-0144: EternalBlue が狙う SMBv1 のバグ。 Microsoft は ── おそらく NSA から事前情報を受けて ── 2017年3月14日に修正パッチを公開済み だった。 つまり WannaCry 拡散の2か月前。 ただし大量の組織が、 サポート切れの Windows 7 SP1 や Windows XP、 そして単純にパッチ運用が遅い環境を稼働させ続けていた。

ランサムウェア本体: ファイルを AES-128 + RSA-2048 で暗号化、 ビットコインアドレス3個に300〜600ドル相当を要求。 加えて、 感染ホストから 同じ LAN セグメントと外向きにランダム IP をスキャン して EternalBlue で次の感染を試みる、 ワーム的自己増殖機構を備えた ── これが、 単発の感染を「数時間で30万台」のスケールへ引き上げた決定的特徴。

当日のタイムライン

5月12日 07:44 UTC 頃から最初の感染が観測される。 英国時間正午過ぎには NHS Trust（イングランドの公的医療提供単位）の80組織中約40組織 が影響を受け、 19,000件以上の予約・手術がキャンセル、 救急車の搬送先振替も発生した（NAO 報告書による）。 推計被害額は NHS だけで約9,200万ポンド。

同日 15:03 UTC、 英南西部に住む22歳のセキュリティリサーチャー Marcus Hutchins（ハンドル MalwareTech） は WannaCry のサンプルを解析し、 コード内に1つの長い未登録ドメインが埋め込まれていることに気づく ── iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。 マルウェアはまずこのドメインに HTTP リクエストを試み、 「解決成功・到達可」だった場合、 暗号化を実行せず終了する設計だった（サンドボックス検出回避用と推測される）。 Hutchins は約10ドルでこのドメインを登録 ── これだけで、 新規感染の暗号化動作が停止した。 サイバーセキュリティ史上、 個人の即興判断が事件規模を抑えた象徴的瞬間となる。

帰属 ── 北朝鮮 Lazarus Group

2017年12月19日、 米ホワイトハウスは公式に WannaCry を 北朝鮮政府が後援する Lazarus Group の犯行と帰属した（英 NCSC、 オーストラリア、 カナダ、 日本などが追従）。 根拠の一つはコード断片の再利用 ── WannaCry のベータ版（2017年2月）には、 過去の Lazarus マルウェア（Sony Pictures Entertainment ハッキング2014年、 バングラデシュ中央銀行強奪2016年）と一致するコード断片が含まれていた。

ただし、 WannaCry は身代金回収機構の設計が稚拙で、 攻撃者が受け取った Bitcoin は約14万ドル相当に留まった ── 「30万台を制圧して14万ドル」 という極端に低い ROI。 北朝鮮の暗号資産強奪部門の通常運用（Axie Infinity Ronin Bridge 強奪事件2022年で6億2,500万ドル）と比較しても異質。 リサーチャーの間では「WannaCry はテスト中の自己増殖機構が誤って公開ネットへ放出された事故ではないか」という説が現在も有力。

Marcus Hutchins のその後

事件直後、 Hutchins は世界中で英雄として扱われた。 だが2017年8月、 ラスベガス DEF CON 参加後の帰国時に FBI に拘束され、 別件（数年前に若手として関与したとされるバンキングトロイ Kronos の販売）で起訴される。 司法取引の末、 2019年に懲役・罰金ともに無し（time served）の有罪判決を受け、 米国に居住しながらリサーチャーとして活動を続けている。

NHS への波及と政策効果

英国 NAO（会計検査院）の調査によれば、 感染した NHS 組織は1)サポート切れの Windows XP を稼働、 または2)サポート対象 Windows でも MS17-010 パッチを未適用、 という状態だった。 NAO は「攻撃は基本的なサイバー衛生（cyber hygiene）の不徹底によるもの」と結論づけ、 NHS と Department of Health の双方を批判した。

世界規模では、 (a) 「NSA が脆弱性を貯蔵することは是か」 という議論（Vulnerabilities Equities Process の見直し議論）、 (b) 「重要インフラに対するランサムウェアは国家の責任とすべきか」 という議論（後の Colonial Pipeline 事件 2021、 OFAC 制裁の本格運用へ）、 (c) 「サポート切れ OS を医療・産業現場で動かすリスク」 の認識 ── これら3つの政策アジェンダが、 WannaCry 後に同時並行で動き始めた。

残したもの

WannaCry は、 国家の攻撃ツールが公開された場合、 同じツールが直ちに無関係の犯罪者によって流用される という現代的な脅威モデルを、 世界規模で実演した最初の事件である。 6週間後の2017年6月27日には、 同じ EternalBlue を使った NotPetya がウクライナ起点でロシアによって解き放たれ、 Maersk、 Merck、 FedEx 等に推定100億ドル超の損害を与える ── WannaCry は、 その「予告編」だった。

「パッチを当てる」という最も基本的なセキュリティ運用が、 国家間サイバー紛争の最前線になった瞬間として、 2017年5月12日は記憶される。