2017年5月12日夜間頃より世界規模で攻撃が観測されているWannaCryの解析結果をお知らせします。WannaCryの動作概要と、ランサムウェアとしては新しい動作となる、キルスイッチとMS17-010脆弱性をついた感染拡大の部分については、少し詳しく解説していきます。 今回調査に用いた検体は、VirusTotalよりダウンロードした以下のSHA256ハッシュ値を持つWannaCryのドロッパー検体です。亜種の存在の報告もあがっており、挙動が異なる可能性もあるため、最初にこの点に触れておきたいと思います。 SHA256 : 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c [概要] WannaCryはドロッパーEXEの実行で開始され、開始直後に、キルスイッチと名付けられたURLにアクセスします。 http:/