「サイバーセキュリティ最悪の日になり得た」WannaCryが悪用する脆弱性情報の流出

　株式会社カスペルスキーが19日、ロシア本社のCEOであるユージン・カスペルスキー氏の来日に伴い、プレス向けの説明会を開催。英国を中心に感染が拡大し、その後全世界に広まったランサムウェア「WannaCry」についての現状を株式会社カスペルスキー代表取締役社長の川合林太郎氏がまとめた。

「WannaCry」に感染したPCは33万8765台、メールでの感染は否定

　川合氏は、WannaCryにより「SMB v1」の脆弱性を悪用するためのTCP 445番ポートに対する通信が、同社の観測では11日から急増していたことに触れつつ、「WannaCryは、どれだけの感染数かが仕様上追える仕組みになっており、17日時点では33万8765台が感染している」と公表。「あくまで直接インターネットと接続されているPCの台数なので、少なくともこれより多いことになる」とした。

　そして、ドイツの鉄道監視システムや空港、中国の銀行ATMなどの感染例を紹介。「被害国は一時的にはロシアが多かったが、Europolのインタビューによれば、すでに日曜の時点で150カ国に感染が広がっていた」という。

　感染の拡散については「当初はメールとの話も出ていたが、いまだにどのベンダーからも出てきていない」とした上で「通常なら1～2日でそういう話が出てくるので、今回は違うのではないかと思われている」とした。

株式会社カスペルスキー代表取締役社長の川合林太郎氏

対策はパッチを当てること。できない場合SMB v1の無効化を

　WannaCryが悪用するSMB v1の脆弱性は、ハッカー集団の「Shadow Broker」が流出させたエクスプロイト「Eternal Blue」によるもの。感染拡大当初はWindows XPへの感染が注目を集めたが、影響を受けるのは、3月のパッチ配布後に提供が開始された「Windows 10 Creators Update（1703）」を除くWindows 10の各バージョン（1607/1511/1507）と、Windows 8.1/8/7/Vista/XP、Winsows Server 2016/2012 R2/2012/2008 R2/2008/2003。

　自己増殖型ワーム機能でインターネットとローカルのTCP 445番ポートを通じてSMB v1の脆弱性を悪用し感染を拡大する。しかし、カスペルスキー日本法人への問い合わせでは、同社製品を用いている環境での感染は17日12時時点で0件だという。

　川合氏は、「対策はパッチを当てることにつきる」とし、これができない環境では、SMB v1を無効化することを対策に挙げた。同時に悪用する「SMB v2」については「止めると、さまざまなサービスが動かなくなるため」とした。

　そして暗号化されてしまったデータを復旧するためのバックアップも対策方法に挙げたが、ほかのランサムウェアに感染した海外企業の例では、「バックアップがオンラインに保存されていて暗号化されてしまい、復元できない例もあった」とし、バックアップの保管先への注意を促した。

　このほか、パッチ適用状況を管理することとともに、古いソフトや使わないアプリ、サービスを削除することで、脆弱性を最小化することも推奨。さらに「PCが100台の環境で、管理者権限が300あるといったケースもざらにあるので、不要な権限はオフにすべき」とした。

「WannaCry」の犯人は？

　WannaCryの犯人像について川合氏は、「これだけ騒がれ、各国の法執行機関もやっきになっている中、30万台以上ものPCを感染させた規模の攻撃を考えれば、17日時点でたった8万ドルしか支払われていないのはおかしい」とした。

　同じ脆弱性を突いてPCに侵入し、ユーザーの知らない間にバックグラウンド処理で仮想通貨「Monero」のマイニング（採掘）を行うマルウェア「Adylkuzz」について、カスペルスキーでは2週間で2300件の攻撃を確認しているとのことだが、「見つからないように攻撃する点が対照的」とした。

　「（サイバー犯罪者は）長期に潜んで情報を抜くのが通例で、金銭目的かどうかにかかわらず、これだけ耳目を集めるのは不必要。偽旗作戦の可能性もあるが、その可能性は低いとみている」との見方を示し、「身代金の要求金額が倍になる3日を超えると支払われる金額が増えるとみられていたが、そうでもない」との現状を紹介し、「期限の1週間が切れるので、今後の状況を見守りたい」とした。

　ロシアKaspersky Lab取締役会長兼最高経営責任者（CEO）のユージン・カスペルスキー氏は犯人像について「Lazarusグループによる攻撃と似たようなソースコードを持っている類似性を確認している」とし、「これだけの攻撃をするからには多くのエンジニアが背後にいる」との見方を示した。

　その目的として、「今回はランサムウェアなのでお金が動機だが、しかし期待したとおり成功していない。それはいいことだが」とした上で、「（WannaCryの）被害企業がシステムをバックアップからリカバリーできているため、支払いをしないという状況ではないか」との見方を示し、「すべての国家が警察で成功裏な捜査をすると思う」と述べた

ロシアKaspersky Lab取締役会長兼最高経営責任者（CEO）のユージン・カスペルスキー氏

NSAから流出した脆弱性の悪用は、サイバーセキュリティ上最悪の日になり得る

　WannaCryが感染を拡大するワーム機能には、Shadow Brokersが米国国家安全保障局（NSA）より窃取して流出させた脆弱性情報が悪用されている。

　このように、国の諜報機関がシステムの脆弱性を開発元であるMicrosoftなどに通告せず、攻撃者と同様の手口で利用することについて、カスペルスキー氏は「これが初めてのことではないが、まさにサイバーウェポンと言えるもので、非常に危険なこと。残念ながら極めて簡単にコピーして拡散できる。国家の保持するツールをコピーして拡散するのは、最も危険なシナリオの一つ」とした。

　そして「Shadow Brokerは、一部の情報を流出させた。彼らがどれだけの情報を持っているかは明らかではないが、かなりの情報を持っているはずだ。保有するとみられるすべての情報を出していたら、すべてのサイバー犯罪者がそれを見て理解し、すべての情報を得ることになる。そうすると最悪の日になり得た。Shadow Brokerの状況には十分注意した方がいい。こうした情報を本当に販売や公開したら。サイバーセキュリティに大きな問題になり得る」とした。