Sponsored Contents

ransomwareの最新記事

Image credit:

まるで映画のようなハッキングが現実になった、NSA製ツール EternalBlue。ランサムウエア「WannaCry」まとめ

山口健太(Kenta Yamaguchi)
2017年5月19日, 午後12:20 in Ransomware
520 シェア
136
142
0
242

連載

注目記事

「単身40代が日本を滅ぼす」との調査をNHKが解説「AIは、人の顔色を伺って結果を出したりしない」

「単身40代が日本を滅ぼす」との調査をNHKが解説「AIは、人の顔色を伺って結果を出したりしない」

View

人気記事



​​​​​​世界で大きく被害が広がったランサムウエア「WannaCry」ですが、その拡散に一役買ったとみられるツールを開発したのが「NSA」(アメリカ国家安全保障局)とみられる点も、注目を浴びています。

映画やドラマの世界が現実に

NSAといえば、CIAやFBIと並びアメリカの映画やドラマでも定番の存在です。典型的なイメージは、キーボードをカタカタと叩くだけで標的のシステムにあっさり侵入するといったものではないでしょうか。

ITリテラシーの高い人なら「そんなにうまくいくわけないだろ」と突っ込むシーンですが、それを現実のものにしてしまうのがNSA製のツールです。NSAから流出した後、2017年4月にはThe Shadow BrokersによってGitHubに公開され、誰でも入手可能な状態になっています。
問題は、NSAがこのツールを作った時期が少なくとも2013年より前とみられる点です。つまりNSAは、これまで数年間に渡って誰にも気付かれないまま、世界中の多数のWindows PCに静かに侵入していた可能性があります。

そこから4年以上が経過したことで、現在のNSAはさらに強力なツールを保有しているのではないか、との疑念は高まります。マイクロソフトがNSAを名指しで非難したように、今後は政府機関に対する風当たりが強まるかもしれません。

NSA仕込みの攻撃ツールとは?

GitHubに公開されたツールには実行ファイルが含まれており、マルウェアとして検出される可能性が高いため、専用に隔離した検証環境以外では、興味本位にダウンロードしないほうがよいでしょう。


GitHubに公開されたNSA製とみられるツール群

その中身は、よくあるアングラツールとは趣を異にしています。アスキーアートによる装飾や「Decrypt0r」のようにアルファベットを置き換えるleet表現はみられません。その代わり、ソースコードには丁寧にコメントが付けられ、ファイルにはバージョン番号と見られる数字が付与されています。

まるで会議室のホワイトボードで設計され、昼間のオフィスで書かれ、自動テストを経て、ビルドツールによって出力されたような仕上がりです。


コーディング規則の存在が感じられるPythonスクリプト

代表的なツールの詳細は、EternalBlueについて @zerosum0x0、DoublePulsarについてはCounterceptのブログにおいて詳細に解析されています。

これらの解析から読み取れることは、標的へのアクセスや振る舞いにかなりの慎重さが感じられる点です。たとえばSMBの脆弱性を利用する「EternalBlue」は、ドライバが読み込まれたメモリ空間内の関数を置き換えるようにしてバックドアである「DoublePulsar」を送り込みます。


実際にEternalBlueでバックドアを仕込んだWindows 7 SP1。目に見える変化はまったくない

メモリ上にうまく忍び込んだDoublePulsarは、あたかもSMBの一部のように振る舞い、外部から送られてきたDLLコードをすでに存在する別のプロセスに注入します。目的を達成した後はメモリを消去して痕跡をほとんど残さないため、何の予備知識もなしに攻撃を検出することは、至難の業といってよいでしょう。

すでに脆弱性への対策となるセキュリティパッチは3月に提供されており、Windows Updateを正しく実行していれば新たな攻撃を受けることはありません。ただし、パッチの適用が4月以降に遅れた場合は攻撃を受けた可能性があります。例外的にWindows XPにもパッチは提供されましたが、これはWannaCryの被害が拡大を始めた後でした。


サポートが終了したデスクトップ版のWindows XPにもセキュリティパッチが提供された

我々一般人ができる対策としては、常にセキュリティパッチを最新化すること、データはローカルだけに置かずバックアップやクラウドの利用を心がけること、必要のないポートは閉じること、などの基本を徹底することが重要といえます。
関連キーワード: ransomware, security, WannaCry
520 シェア
136
142
0
242

Sponsored Contents