2017年5月12日に発生したランサムウェア「WannaCry」の攻撃は、20万台以上のコンピュータに影響を与えました。WannaCryは、パッチが適用されていない脆弱性を突いて、世界中のネットワークにワームを感染させました。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
ランサムウェア*「WannaCry」の攻撃は、世界中の組織に影響を与えた大規模なセキュリティインシデントでした。2017年5月12日、ランサムウェアワーム「WannaCry」が150カ国以上、20万台以上のコンピュータに拡散しました。注目すべき被害者には、フェデックス、ホンダ、日産自動車、英国の国民保健サービス(NHS)を含み、後者は一部の救急車の受け入れを断り他の施設に回すことを余儀なくされました。
攻撃から数時間のうちに「WannaCry」は一時的に無力化されました。セキュリティ研究者が、「キルスイッチ」を発見して実質的にマルウェアを停止させたのです。しかし、多くのコンピュータは暗号化され、被害者が身代金を支払うか、暗号化を解除するまで使用できないという状態が続きました。
WannaCryは「EternalBlue」と呼ばれる脆弱性悪用ツールによって拡散されました。この悪用ツールは、米国国家安全保障局(NSA)が独自に開発したものと思われますが、NSA自身がセキュリティー侵害を受けた後、Shadow Brokersと呼ばれるグループによって盗まれ公開されました。EternalBlueは、パッチが適用されていない古いバージョンのMicrosoft Windowsでのみ動作しますが、そのようなバージョンを実行しているマシンは、WannaCryが急速に拡散するのに十分すぎるほどの台数が存在していました。
*ランサムウェアは、ファイルやデータを暗号化してロックし、身代金を要求する悪意のあるソフトウェアです。
セキュリティの分野では、ネットワーク上の複数のコンピュータに自動的に拡散する悪意のあるソフトウェアプログラムのことをワームと呼びます。ワームは、オペレーティングシステムの脆弱性を突いてコンピュータからコンピュータへ移動し、各コンピュータに自身のコピーをインストールします。
ワームを、オフィス街で施錠されていないドアを探して歩く泥棒のようなものだと考えてください。泥棒が施錠されていないドアを見つけたら自分の分身を作ってそのオフィス内にとどめ、双方が施錠されていないドアを探し続けることを想像してください。
ほとんどのワームには、ランサムウェアは含まれていません。ランサムウェアは通常、悪意のあるメール、認証情報の漏洩、ボットネット、または非常に的を絞った脆弱性悪用ツールによって拡散します(Ryukは後者の一例です)。WannaCryは、ランサムウェアとワームを組み合わせただけでなく、NSAが作成した特に強力なワームを有効化する脆弱性を利用したという点で独特なものでした。
シャドーブローカーズとは、2016年にマルウェアツールやゼロデイエクスプロイトを一般に広めた攻撃者集団です。彼らには、NSAが開発した多くのエクスプロイトを入手した疑いがかけられており、おそらくNSAの内部者による攻撃が原因であると考えられています。2017年4月14日、シャドウブローカーズはWannaCryが最終的に使用することになるEternalBlueエクスプロイトをリークしました。
マイクロソフトはEternalBlueに対するパッチを、シャドーブローカーズがEternalBlueをリークする1カ月前の3月14日に発行していましたが、WannaCry攻撃時には多くのコンピュータがパッチ未適用のまま残っていました。
2017年末、米国および英国は、WannaCryの背後には北朝鮮政府が存在すると公表しました。しかし、一部のセキュリティ研究者は、この結論に異議を唱えています。WannaCryは、北朝鮮政府から直接発信されたのではなく、北朝鮮に拠点を置くLazarus Groupが行った可能性がある、と主張する者もいます。また、マルウェアに残された作成者の手がかりは、北朝鮮を拠点とする攻撃者に責任が向くように仕組まれたものであり、WannaCryはまったく別の地域から発せられた可能性があると指摘する者もいます。
攻撃当日、セキュリティブロガー兼研究者であるMarcus Hutchins氏は、WannaCryのソースコードのリバースエンジニアリングを開始しました。彼は、WannaCryが実行前に、ドメイン「iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com」にクエリを実行するという珍しい機能が含まれていることを発見しました。このWebサイトは存在しませんでした。
そこで、彼はこのドメインを登録しました。(費用は$10.69 )
Hutchins氏がそうした後も、WannaCryのコピーの拡散は続きましたが、それが実行されることはなくなりました。WannaCryは「iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com」からのレスポンスを取得し始めると、事実上自らの活動を停止したのです。
WannaCryの作成者の動機は定かではありませんが、ドメインをクエリーするこの機能は、ランサムウェアがサンドボックス内にいるかどうかを確認するために、WannaCryに搭載されたという説があります。
サンドボックスとは、マルウェア対策ツールの一つです。これは仮想マシンであり、他のすべてのシステムやネットワークとは別に動作します。信頼できないファイルを実行し、その動作を確認するための安全な環境を提供します。
サンドボックスは、実際にはインターネットに接続されていません。しかし、サンドボックスは実際のコンピュータをできるだけ模倣することを目的としているため、マルウェアが指定したドメインに向けた問い合わせに対して、偽の応答を生成することがあります。そのため、マルウェアはサンドボックス内にいるかどうかを確認する1つの方法として、存在しないドメインのクエリーを送信することが考えられます。もし、マルウェアが「実在する」という(サンドボックスが生成した)レスポンスを受け取った場合、マルウェアはサンドボックス内にいると推測し、サンドボックスによって悪意のあるものとして検出されないよう、自身の活動を停止します。
しかし、マルウェアがハードコード化されたドメインに対してテストクエリを送信する場合、誰かがそのドメインを登録してしまえば、常にサンドボックス内にいると錯覚させることができます。世界中のWannaCryのコピーがサンドボックス内にいると錯覚させられて自らの活動を停止した、と言う事態を引き起こさせることができました。(マルウェア作成者の立場からすると、毎回異なるランダムなドメインを問い合わせる方が良い設計でしょう。そうすれば、サンドボックス外のドメインから応答を得る確率はゼロに近くなります)。
もう1つ考えられるのは、世界中に拡散したWannaCryのコピーが未完成だったということです。WannaCryの作成者は、ワームをリリースする前に、そのドメインをコマンド&コントロール(C&C)サーバーのアドレスに置き換えるつもりで、プレースホルダとしてハードコーディングした可能性があるのです。あるいは「iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com」を自分で登録するつもりだったのかもしれません。(DNSフィルタリング または URLフィルタリングで、このドメインへのクエリを止めることができたかもしれませんが、ほとんどの組織ではこの安全対策の構築を間に合わせることができなかったでしょう)。
理由はともかく、このような単純な行動で世界中のコンピューターやネットワークをさらなる感染から救えた事実は、まさに幸運としか言いようがありません。
Hutchins氏は、セキュリティ研究者としての仕事やブログを始める前、ダークウェブのマルウェアフォーラムに何年も出入りし、自作のマルウェアを構築して販売していたことが判明しました。WannaCryの発生から数カ月後、FBIはネバダ州ラスベガスで、銀行向け不正プログラム「Kronos」を作成した容疑でHutchins氏を逮捕しました。
2017年に世界中に放たれたWannaCryのバージョンは、Hutchins氏のキルスイッチドメインのおかげで現在機能しません。さらに、WannaCryが悪用した脆弱性「EternalBlue」については、2017年3月にパッチが提供されています。
しかし、WannaCry攻撃は依然として発生しています。2021年3月現在、WannaCryは、極めて古い、旧式化したWindowsシステムだけが危険にさらされることになる脆弱性悪用ツールEternalBlueを未だに使用していました。WannaCryの新しいバージョンでは、オリジナルバージョンに存在するキルスイッチ機能が削除されています。OSをアップデートすること、セキュリティアップデートを直ちにインストールすることを強くお勧めします。
WannaCryのオリジナルバージョンは現在では有効ではありませんが、2017年5月の攻撃からいくつかの重要な教訓を学ぶことができます:
ランサムウェアの他の系統の詳細を知る:
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集