金曜日、英国の複数の病院が奇妙な攻撃に見舞われました。コンピューターが乗っ取られ、データが暗号化され、身代金が要求されましたが、その金額はわずか300ドルでした。攻撃は急速に拡大し、150カ国に広がり、スペインの通信会社からロシアの内務省まで、あらゆる機関が機能停止に陥りました。そして幸運にも、週末にキルスイッチが偶然発見されたことで、WanaCryptor攻撃は阻止されました。史上最大のランサムウェア攻撃を、私たちは一体どう受け止めるべきなのでしょうか?
これはNSAから漏洩した「サイバー兵器」に基づいていた。
WannaCry、WanaCryptor、WannaCryptなど様々な名称で知られるこのワームは、Microsoftオペレーティングシステムを搭載したコンピュータを標的としています。このワームは、EternalBlueと呼ばれるエクスプロイトをベースに構築されています。これは、Shadow Brokersと呼ばれるグループが公開したNSAの「サイバー兵器」の一つで、昨年の夏の終わりにNSAツールの流出を開始しました。
ユーザーインタラクションを利用せずに拡散した
ユーザーが標的の電子メール内のリンクをクリックすることでコンピューターが侵害されるフィッシング攻撃やスピアフィッシング攻撃とは異なり、WannaCry は人為的なエラーを悪用することなく機能します。
著名なサイバーセキュリティ企業であるKasperksey Labは、この攻撃に関する詳細なFAQの中で、「Wannacryがこれほど成功した主な理由は、EternalBlueエクスプロイトがユーザーの介入を一切必要とせずにインターネット上で動作する点にあると言えるでしょう」と述べています。ネットワーク経由で攻撃するため、キルスイッチが有効であっても、ローカルネットワーク内で大混乱を引き起こす可能性があります。キルスイッチの動作にはインターネット接続が必要です。
キルスイッチは単純なURLチェックだった
WannaCryは拡散する前に、特定のドメインに接続できるかどうかを確認します。ドメインが登録済みで占有されている場合は、それ以上の活動は行いません。接続に失敗した場合、WannaCryは本来の目的通りに拡散し、マシンに感染して身代金を要求します。
このキルスイッチは、英国の若いコンピュータセキュリティ研究者によって発見されました。彼はWannaCryのプログラムで指定されたドメインを登録し、そこへのトラフィックをボットネットを捕捉するためのシンクホールサーバーにルーティングしました。このセキュリティ研究者は、WannaCryを捕捉した体験について、素晴らしい記事を執筆しています。こちらからご覧いただけます。
苦労の甲斐なく、この匿名研究者は英国のタブロイド紙によって身元を明かされてしまった。匿名でいる理由の一つは、彼が阻止しようとしている攻撃の標的となるような人物の標的とならずに、セキュリティ対策を容易に行えるためだ。これは特にWannaCryにおいて重要だ。なぜなら、このランサムウェアの将来のバージョン(既に実環境で活動しているものもあるかもしれない)にはキルスイッチが搭載されていない可能性があり、そうなると阻止が困難になるからだ。
パッチ未適用のコンピュータを狙った
マイクロソフトは、脆弱性のあるオペレーティングシステム向けに、現在のバージョンのWannaCryによる感染をパッチ適用済みのコンピュータで防ぐパッチをリリースしました。このような攻撃から保護する最初のパッチは3月にリリースされましたが、すべてのユーザーがすべてのパッチやソフトウェアアップデートを自動的にダウンロードしてインストールするわけではありません。マイクロソフトは、16年前のオペレーティングシステムであるWindows XP向けにパッチをリリースしました。Windows XPは公式サポートが終了しているにもかかわらず、多くのコンピュータで依然として使用されています。(マイクロソフトは、まだ「カスタマーサポート」のみとなっている他の2つのオペレーティングシステム、Windows 8とWindows Server 2003向けのパッチもリリースしています。)この攻撃に関してリリースされた顧客向けガイダンスでは、マイクロソフトは予防的な対策として自動更新を推奨しています。
Cisco社のTalos脅威監視・防御チームは、WannaCryがルーティング匿名化ツールを介して組織内に拡散するのを防ぐため、TOR出口ノードをブロックすることを推奨しています。さらに、Talosの推奨事項には、積極的にサポートされセキュリティアップデートが提供されているオペレーティングシステムのみを使用する、タイムリーなセキュリティパッチを適用する、マルウェア対策ソフトウェアを実行する、そして特に、データを定期的にバックアップし、オフラインのデバイスに保存するといった災害対策計画を策定するといった業界のベストプラクティスが含まれています。ハッカーがアクセスできない場所に冗長化されたデータが保存されるほど、身代金を支払う必要性は低くなります。
この種の攻撃を防止し、回復することは費用がかかり複雑である
WannaCryが成功したのは、複雑な状況が絡み合ったためです。匿名の犯罪者に身代金を支払う手段としてビットコインが利用可能だったことはもちろんのこと、NSA自身が開発したエクスプロイトも大きな要因となりました。どちらのケースも、個人や組織が依然として古いソフトウェアを使用している状況下で発生しており、Microsoftのような企業がエクスプロイトを作成したNSAや、セキュリティパッチを適用しなかったユーザーに責任を転嫁するのは容易です。
「テクノロジーは欠陥だらけの状態で出荷されるため、業界の大部分は、あらゆる欠陥を塞ぐために全力で取り組む、高度な訓練を受けた専門家集団で構成されている」と、サイバーセキュリティ評論家のスティルゲリアン氏は述べている。「そして、顧客が必然的にこの欠陥の洪水に巻き込まれ、沈んでしまうと、ベンダーやサイバーセキュリティ専門家は、顧客が泳げないせいで泳げないと責め立てるのだ。」
あるいは、Pinboard の所有者 (Stilgherrian 氏が引用) は、より簡潔に次のように述べています。
もっと寛大に言えば、テクノロジーを購入する組織はそれを本来の目的で使用したいと考えており、多くの場合、特定のテクノロジーが規定どおりに機能し、セキュリティ上の欠陥がないことを確認するための予算や専門知識を持っていません。 金曜日にWannaCryが拡散した際に指摘したように、セキュリティ研究者は11月にNHSが古いソフトウェアを使用していたことを発見しました。そのソフトウェアを修正するには、新しいオペレーティングシステムを見つけるだけではありません。既存のシステムを破壊しないものを見つけてインストールし、それを使用する必要のあるすべての人にその方法をトレーニングし、新しいソフトウェアが時代遅れにならないことを祈る必要があります。 継続的なセキュリティは誰にとっても費用がかかりますが、特にエンドユーザーにとってはそうです。 そして、何か問題が発生すると、数千万ドルのコストが発生する可能性があり、そのほぼ全額がソフトウェアメーカーではなくソフトウェア購入者の負担になります。
