ランサムウェア「WannaCry」が行った攻撃とは?

2017年5月12日に発生したランサムウェア「WannaCry」の攻撃は、20万台以上のコンピュータに影響を与えました。WannaCryは、パッチが適用されていない脆弱性を突いて、世界中のネットワークにワームを感染させました。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • ランサムウェア「WannaCry」が1日で20万台以上のコンピュータに感染した経緯を説明する
  • セキュリティ研究者がWannaCryを阻止した方法について説明する
  • 2017年5月のWannaCry攻撃から得られた重要な教訓と覚えておくべきことを探る

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

ランサムウェア「WannaCry」が行った攻撃とは?

ランサムウェア*「WannaCry」の攻撃は、世界中の組織に影響を与えた大規模なセキュリティインシデントでした。2017年5月12日、ランサムウェアワーム「WannaCry」が150カ国以上、20万台以上のコンピュータに拡散しました。注目すべき被害者には、フェデックス、ホンダ、日産自動車、英国の国民保健サービス(NHS)を含み、後者は一部の救急車の受け入れを断り他の施設に回すことを余儀なくされました。

攻撃から数時間のうちに「WannaCry」は一時的に無力化されました。セキュリティ研究者が、「キルスイッチ」を発見して実質的にマルウェアを停止させたのです。しかし、多くのコンピュータは暗号化され、被害者が身代金を支払うか、暗号化を解除するまで使用できないという状態が続きました。

WannaCryは「EternalBlue」と呼ばれる脆弱性悪用ツールによって拡散されました。この悪用ツールは、米国国家安全保障局(NSA)が独自に開発したものと思われますが、NSA自身がセキュリティー侵害を受けた後、Shadow Brokersと呼ばれるグループによって盗まれ公開されました。EternalBlueは、パッチが適用されていない古いバージョンのMicrosoft Windowsでのみ動作しますが、そのようなバージョンを実行しているマシンは、WannaCryが急速に拡散するのに十分すぎるほどの台数が存在していました。

*ランサムウェアは、ファイルやデータを暗号化してロックし、身代金を要求する悪意のあるソフトウェアです。

ワームとは?

セキュリティの分野では、ネットワーク上の複数のコンピュータに自動的に拡散する悪意のあるソフトウェアプログラムのことをワームと呼びます。ワームは、オペレーティングシステムの脆弱性を突いてコンピュータからコンピュータへ移動し、各コンピュータに自身のコピーをインストールします。

ワームを、オフィス街で施錠されていないドアを探して歩く泥棒のようなものだと考えてください。泥棒が施錠されていないドアを見つけたら自分の分身を作ってそのオフィス内にとどめ、双方が施錠されていないドアを探し続けることを想像してください。

ほとんどのワームには、ランサムウェアは含まれていません。ランサムウェアは通常、悪意のあるメール、認証情報の漏洩、ボットネット、または非常に的を絞った脆弱性悪用ツールによって拡散します(Ryukは後者の一例です)。WannaCryは、ランサムウェアとワームを組み合わせただけでなく、NSAが作成した特に強力なワームを有効化する脆弱性を利用したという点で独特なものでした。

シャドーブローカーズとは?

シャドーブローカーズとは、2016年にマルウェアツールやゼロデイエクスプロイトを一般に広めた攻撃者集団です。彼らには、NSAが開発した多くのエクスプロイトを入手した疑いがかけられており、おそらくNSAの内部者による攻撃が原因であると考えられています。2017年4月14日、シャドウブローカーズはWannaCryが最終的に使用することになるEternalBlueエクスプロイトをリークしました。

マイクロソフトはEternalBlueに対するパッチを、シャドーブローカーズがEternalBlueをリークする1カ月前の3月14日に発行していましたが、WannaCry攻撃時には多くのコンピュータがパッチ未適用のまま残っていました。

ランサムウェア「WannaCry」の攻撃は誰が行ったのか?

2017年末、米国および英国は、WannaCryの背後には北朝鮮政府が存在すると公表しました。しかし、一部のセキュリティ研究者は、この結論に異議を唱えています。WannaCryは、北朝鮮政府から直接発信されたのではなく、北朝鮮に拠点を置くLazarus Groupが行った可能性がある、と主張する者もいます。また、マルウェアに残された作成者の手がかりは、北朝鮮を拠点とする攻撃者に責任が向くように仕組まれたものであり、WannaCryはまったく別の地域から発せられた可能性があると指摘する者もいます。

WannaCryの攻撃を阻止した方法とは?

攻撃当日、セキュリティブロガー兼研究者であるMarcus Hutchins氏は、WannaCryのソースコードのリバースエンジニアリングを開始しました。彼は、WannaCryが実行前に、ドメイン「iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com」にクエリを実行するという珍しい機能が含まれていることを発見しました。このWebサイトは存在しませんでした。

そこで、彼はこのドメインを登録しました。(費用は$10.69

Hutchins氏がそうした後も、WannaCryのコピーの拡散は続きましたが、それが実行されることはなくなりました。WannaCryは「iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com」からのレスポンスを取得し始めると、事実上自らの活動を停止したのです。

このことが攻撃を止めることになった理由は?

WannaCryの作成者の動機は定かではありませんが、ドメインをクエリーするこの機能は、ランサムウェアがサンドボックス内にいるかどうかを確認するために、WannaCryに搭載されたという説があります。

サンドボックスとは、マルウェア対策ツールの一つです。これは仮想マシンであり、他のすべてのシステムやネットワークとは別に動作します。信頼できないファイルを実行し、その動作を確認するための安全な環境を提供します。

サンドボックスは、実際にはインターネットに接続されていません。しかし、サンドボックスは実際のコンピュータをできるだけ模倣することを目的としているため、マルウェアが指定したドメインに向けた問い合わせに対して、偽の応答を生成することがあります。そのため、マルウェアはサンドボックス内にいるかどうかを確認する1つの方法として、存在しないドメインのクエリーを送信することが考えられます。もし、マルウェアが「実在する」という(サンドボックスが生成した)レスポンスを受け取った場合、マルウェアはサンドボックス内にいると推測し、サンドボックスによって悪意のあるものとして検出されないよう、自身の活動を停止します。

しかし、マルウェアがハードコード化されたドメインに対してテストクエリを送信する場合、誰かがそのドメインを登録してしまえば、常にサンドボックス内にいると錯覚させることができます。世界中のWannaCryのコピーがサンドボックス内にいると錯覚させられて自らの活動を停止した、と言う事態を引き起こさせることができました。(マルウェア作成者の立場からすると、毎回異なるランダムなドメインを問い合わせる方が良い設計でしょう。そうすれば、サンドボックス外のドメインから応答を得る確率はゼロに近くなります)。

もう1つ考えられるのは、世界中に拡散したWannaCryのコピーが未完成だったということです。WannaCryの作成者は、ワームをリリースする前に、そのドメインをコマンド&コントロール(C&C)サーバーのアドレスに置き換えるつもりで、プレースホルダとしてハードコーディングした可能性があるのです。あるいは「iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com」を自分で登録するつもりだったのかもしれません。(DNSフィルタリング または URLフィルタリングで、このドメインへのクエリを止めることができたかもしれませんが、ほとんどの組織ではこの安全対策の構築を間に合わせることができなかったでしょう)。

理由はともかく、このような単純な行動で世界中のコンピューターやネットワークをさらなる感染から救えた事実は、まさに幸運としか言いようがありません。

Marcus Hutchins(マーカス・ハッチンズ)氏はどうなったか?

Hutchins氏は、セキュリティ研究者としての仕事やブログを始める前、ダークウェブのマルウェアフォーラムに何年も出入りし、自作のマルウェアを構築して販売していたことが判明しました。WannaCryの発生から数カ月後、FBIはネバダ州ラスベガスで、銀行向け不正プログラム「Kronos」を作成した容疑でHutchins氏を逮捕しました。

WannaCryは現在も脅威か?

2017年に世界中に放たれたWannaCryのバージョンは、Hutchins氏のキルスイッチドメインのおかげで現在機能しません。さらに、WannaCryが悪用した脆弱性「EternalBlue」については、2017年3月にパッチが提供されています。

しかし、WannaCry攻撃は依然として発生しています。2021年3月現在、WannaCryは、極めて古い、旧式化したWindowsシステムだけが危険にさらされることになる脆弱性悪用ツールEternalBlueを未だに使用していました。WannaCryの新しいバージョンでは、オリジナルバージョンに存在するキルスイッチ機能が削除されています。OSをアップデートすること、セキュリティアップデートを直ちにインストールすることを強くお勧めします。

WannaCryのオリジナルバージョンは現在では有効ではありませんが、2017年5月の攻撃からいくつかの重要な教訓を学ぶことができます:

  1. 世界中のネットワークは高度に相互接続している。インターネット世代には言うまでもないことかもしれませんが、多くの組織はいまだに自社のネットワークは外部から侵入されないと思い込んでいます(堀のある城のように)。WannaCryは、ネットワークがエアギャップ(外部との接続を完全に遮断すること)されていない限り、外部の脅威が侵入する可能性があることを示しました。
  2. パッチが提供された脆弱性でも危険になり得る。脆弱性に対するパッチは、適用したシステムの数に比例して効果を発揮します。WannaCry攻撃の約2ヶ月前からEternalBlueパッチは提供されていましたが、パッチをインストールしていた組織は少なかったようです。(2021年現在、未だインストールしていないところがありました)
  3. 多くの重要な組織はサイバー攻撃に弱い。 この状況は継続的で、近年ではランサムウェア攻撃が病院、学校、燃料パイプライン、政府などに影響を及ぼしています。実際、Ryukのようなランサムウェアグループは、これらの組織をターゲットにしていると思われます。また、組織によっては、攻撃に対抗するために必要な資金、リソース、技術的な更新への取り組みが十分でない場合もあります。特にNHSは今回の攻撃を受けて、マイクロソフトがサポートを打ち切った非常に脆弱性の高いOSであるWindows XPを使い続けているとして、精密な調査を受けることになりました。
  4. ランサムウェアは大きな脅威です。Cloudflare Oneは、組織がこの脅威に対抗することができるZero Trustプラットフォームです。Zero Trustセキュリティのアプローチは、すべてのユーザーとデバイスが脅威の発信源となることを想定しています。定期的にユーザーの再認証およびデバイスのセキュリティを評価し、安全でないデバイスや未承認のデバイスからアプリケーションやネットワークへのアクセス権を即座に無効化します。これにより、ランサムウェアの蔓延を阻止することができます。

ランサムウェアの他の系統の詳細を知る: