http://itpro.nikkeibp.co.jp/article/NEWS/20130321/464942/によると、WSUSがクラッキングされたのが原因と発表している。

　マルウエア対策を実施しているはずの大手企業が被害を受けたのは、企業内でセキュリティパッチを一括管理する更新管理サーバーがハッキングされたのが原因と発表した。これにより、マルウエアの企業内への侵入を許してしまったとしている。
　農協銀行のシステムを分析したところ、中国のIPアドレス（101.106.25.105）がパッチ更新管理サーバーに接続して、悪意あるファイルを作成していたことが確認されたという。

この悪意あるファイルを各クライアントがダウンロードしないと被害が成立しないのだが、そこは立証されているのかは不明。

　被害拡大を防ぐため、政府、公共機関、交通・電力などのインフラ企業、病院などは、コンピュータのBIOSの時間設定を一時的に2013年3月20日午後2時以前に変更している。今回のサイバー攻撃ではWindowsの自動更新のタイミングで一斉に被害が発生したため、当面は自動更新を回避するという手当てだ。

Windowsの自動更新で発動するのは確定のようである。というか、WSUS落として運用すればいいと思うのだけど駄目なのかなぁ。