WannaCry ランサムウェア – 生かされなかった Slammer、Conflicker の教訓

2017.05.29

金曜日に発生した大規模な WannaCry ランサムウェア攻撃は、多くの組織に被害をもたらしました。しかし、Slammer と Conficker を覚えている人にとっては、WannaCry の急速な感染拡大も驚くべきことではありません。


関連情報:


今日の基準からすれば古びて見えるこれらのマルウェアは、マイクロソフトの脆弱性を介して拡散しました。WannaCry も同じ方法で広がっています。どちらのマルウェアについても、マイクロソフトはパッチを公開済みです。

つまり、「最新のパッチを常に確認し、速やかに適用する必要がある」という大切な教訓を過去の出来事から学んでいない人がいるようです。


デジャヴュ


WannaCry (別名 Wanna Decrypter 2.0、WCry、WanaCrypt、WanaCrypt0r) は、マイクロソフトが 3 月にパッチ公開済みの Windows の脆弱性を悪用するものです。この脆弱性は、Windows コンピュータがローカルネットワーク上のファイルやプリンタを共有するために使用する Windows Server Message Block (SMB) サービスに存在していました。マイクロソフトは、MS17-010(リンク先:英語) のセキュリティ情報を公開し、この問題を解決しています。


このランサムウェア攻撃は、英国の国民保健サービス (NHS) の関連病院を含め、世界各国の企業・組織に広がりました。分析の結果、Shadow Brokers と呼ばれるハッカーグループによって盗み出された米国家安全保障局 (NSA) のコードを使用して(リンク先:英語)実行された可能性が高いと考えられています。


一部のユーザーは、MS17-010 のパッチを適用していなかったために感染した可能性があります。しかし、サポート対象外の古いバージョンの Windows を使用していたために、セキュリティ更新プログラムがなく、感染したユーザーもいます。このため、マイクロソフトは異例の措置を行い、Windows XP などオペレーティングシステム向けのセキュリティ更新プログラムを誰でも利用できるように公開しました。マイクロソフトは以下の声明を出しています。


(引用文日本語訳) 「マイクロソフトは、一般のサポート期限が切れている Windows バージョンを実行しているユーザーが存在していることを理解しています。これらのユーザーは 3 月にリリースされたセキュリティ更新プログラムを利用することはできません。ユーザーとそのビジネスへの影響が大きいことを考慮し、一般にはサポートされていない Windows XP、Windows 8、および Windows Server 2003 プラットフォーム向けのセキュリティ更新プログラムをすべてのユーザーがダウンロードできるようにすることを決定しました。修正プログラムは、ここからダウンロードできます。


Conficker は広範に拡散しているネットワークワームで、2008 年にパッチが未適用だった数百万台の PC が感染しました。ウイルステストサービスの Virus Total で検出された最初のサンプルは、2008 年 11 月 21 日に SophosLabs で確認されたものです。Conficker は、Windows Server サービスのバッファーオーバーフローの脆弱性を悪用することによって拡散しました。この脆弱性は、Conficker が攻撃を開始する 29 日である 2008 年 10 月 23 日にマイクロソフトによって修正されました



Slammer は、6 か月前にパッチが適用されていたマイクロソフトの SQL Server データベースソフトウェアの脆弱性を悪用して、2003 年初めに攻撃を開始しました。影響を受けたコンピュータの多くは、企業の SQL サーバーでした。そのため、Slammer ワームは多数の CPU とネットワーク接続を瞬く間に乗っ取ることができました。したがって、以下の当時の見出しは決して大げさなものではありませんでした。



WannaCry の攻撃には特徴がいくつかあります。典型的なランサムウェアの感染は、ユーザーが悪意のある電子メールの添付ファイルやリンクをクリックすることで起こります。しかし、WannaCry マルウェアは、リモートからのコード実行 (RCE) の脆弱性を悪用することで、ユーザーが何もしなくてもパッチ未適用のコンピュータに感染できます。攻撃者が NSA から流出したコードを使用したことが、その一因であると考えられていますが、現時点では詳細は不明です。


一部のユーザーがすぐにパッチを適用しない理由


詰まるところ、感染が拡大した原因は、公開されたパッチが適用されなかったことにあります。


パッチを速やかに適用しない、あるいは最新バージョンの Windows を使用していない組織は、批判の対象になりがちです。被害者を責めるのは簡単ですが、パッチの適用が遅れたり Windows の古いバージョンを使用したりしているからといって、その組織が必ずしも怠惰あるいは無関心であるとは限りません。


IT 部門が互換性を確保する目的でシステムの設定を変更する間、他のプログラムに影響が及ばないようにパッチの適用を延期するのは以前から行われていることです。一方、古いバージョンの Windows を使用し続けている組織には、次のような理由があります。


  • アップグレードするための財政的および人的リソースが不足している。

  • レガシーシステムが Windows 10 などの新しいバージョンに対応していない。

他にも理由がありますが、上記 2 つが最大の課題です。


CMF(common mode failure)


しかし、ソフォスの CTO である Joe Levy は、パッチ適用ポリシーがどのようなものであれ、脆弱性が「(CMF(common mode failure)」に分類されるものである場合にはパッチ適用をオプションだと考えるべきではない、と指摘しています。


著名なセキュリティ専門家 Dan Geer 氏は、2014 年に Heartbleed が発見された際、自身のコラムでこの問題を解説(リンク先:英語)しています。注目すべき箇所を以下に引用します。


(引用文日本語訳) インターネット規模の障害の原因に唯一なり得るのがモノカルチャー (単一的な文化) です。その他すべての障害は、局地的な悲劇に過ぎません。ポリシー策定者は、モノカルチャーが大規模な攻撃を成功させるための必須条件になっている、という点のみを重視しています。これは統計学で「共通モード故障」と呼ばれるもので、相互依存性が正しく評価されないことによって引き起こされます。


米国国立標準技術研究所(リンク先:英語) (NIST) は、共通モード故障を次のように定義しています。


(引用文日本語訳) 共通モード故障は、単一の障害 (または障害セット) に起因します。コンピュータシステムが単一の電源、冷却、または I/O に依存している場合、リソースの共通モード故障に対して脆弱です。共通モード故障の潜在的な原因は、同一の条件下で同じソフトウェアプロセスの冗長コピーが失敗するような設計上の障害です。


上記の点を踏まえて、金曜日の出来事についての Levy の説明をお読みください。


(引用文日本語訳) 障害 (およびそれに対応するパッチ) に、すべての Windows システムに存在する SMB などの共通コンポーネントとリモートコード実行が関与している場合には、ポリシーよりも対策が優先されるべきです。


つまり、こうした Windows SMB の脆弱性の場合には、パッチ適用に関するポリシーがどのようなものであろうと、パッチの適用をオプションの 1 つだと考えるべきではありません。パッチ適用を先延ばしにすることで、WannaCry のような攻撃によって世界中のコンピュータが影響を受ける危険性があります。


追加対策


より良い対策が今後現れるかもしれませんが、現時点でできる最善の対策は、これまでと同じく最新のパッチを適用し続けることと、最新のバージョンの Windows を使用することです。


前述した通り、ソフォスは引き続き新しい情報が分かり次第、ナレッジベースの記事 (KBA) を更新してお客様に公開いたします。 その他の対策については、過去の記事もご覧ください。

引用元

おすすめの記事はこちら