危険性を増して帰ってきた Windows ワーム

2017.05.26

「かなり攻撃的で、瞬く間に自己複製する。」これは先週の WannaCry (Wanna Decryptor) ランサムウェアの影響を受けたシステム管理者の言葉のように思われますが、実際には 13 年前 Sasser ワームの新しい亜種に対するあるセキュリティ専門家の反応です。



WannaCry ランサムウェアをめぐる大騒ぎはさておき、先週金曜日のイベントは数々の興味深い影響を残していきました。

パッチが適用されないことが多い Windows SMB の脆弱性を WannaCry が標的にしているのと同じように、2004 年の Sasser ワームは Local Security Authority Subsystem Service (LSASS) のパッチが適用されていない Windows エクスプロイトを悪用していました (皮肉なことに、LSASS はセキュリティ設定の管理に使用される OS の一部です)。



WannaCry の被害件数は確かに多いものの、Sasser の被害者リストにはドイツの郵便・物流大手 Deutsche Post、欧州委員会、デルタ航空など数多くの有名な組織・企業が名前を連ねていました。



Sasser は、ILOVEYOU、Nimda、Welchia、Netsky、SoBig、Blaster、SQL Slammer などの一連のメガワームの後に登場したこともあり、実際よりも厄介なワームであると考えられていました。このうちのいくつかのワームは、マイクロソフトのソフトウェアの脆弱性を悪用し、「二度と被害に遭いたくない」と思っていた多くの被害者を再び攻撃しました。



そうした被害者の願いもむなしく、2008 年には別のワーム Conficker が登場しました。Conficker はその 3 年後にも世界中で 1 四半期あたり 1,700 万人の感染者を出した強力なワームです。



Sasser ワームが数万から数十万のネットワークで攻撃を仕掛け、ユーザーが多大な迷惑を被っていたあの頃は、高速感染するよう設計されたマルウェアにとって「暗黒の黄金期」だったと言えるでしょう。

ワームが 2000 年代初めにこれほど成功したのは、インターネットによって急速な感染が可能になったことが原因だと専門家は分析しています。パッチの公開も始まったばかりでした。何かが可能になると、誰かがそれを試し、その後すぐに別の誰かがそれをコピーし、このサイクルが繰り返されます。



近年、ワームの出現頻度は低くなってきています。これはおそらく、マルウェアの作成者がステルス型攻撃の方が効果的だと判断したためです。

しかし、いまだにワーム対策は不便なままです。管理者は、ファイアウォールレベルでサービスやポートをブロックできますが、多くの場合は無制限のブロックができません。電子メールの一時的な停止も有効ではありますが、すぐに全ユーザーから苦情がきます。

WannaCry の「ワーム 2.0」は、人は忘れるだけでなく、忘れたことも忘れてしまうことを思い出させてくれました。誰もが、古いテーマの新しいマルウェアが登場するたびに驚いてしまうようです。



次に同様の攻撃を受けた場合、被害が悪化する可能性があります。2012 年に石油会社 Saudi Aramco が Shamoon と呼ばれるマルウェアに攻撃され、その直後に 35,000 台の PC のハードドライブのマスターブートレコード (MBR) が破壊されました。これ以降もディスクを破壊する攻撃の例はいくつもあります。PC がブートループに入ってしまった場合、問題の緩和には非常に多くの時間とお金がかかります。



ディスクを破壊するマルウェアとワームが組み合わさると、英国の NHS のような組織では何週間も混乱が続くだけでなく、問題修正のために多大な費用がかかります。それ以外にも、スタッフ、患者、およびその家族や友人にも影響が及びます。WannaCry の攻撃を受けた英国の NHS においては、そうした人的損失は現在も増え続けています。



私たちは歴史から学ばなければなりません。

引用元

おすすめの記事はこちら