InfoSec 2017: 次の WannaCry 攻撃に備えるには

2017.06.30

WannaCry が世界中で数十万台のコンピュータを乗っ取った事件から 1 か月が経過しようとしています。
InfoSec Europe 2017(リンク先:英語) の参加者たちは、WannaCry がなぜあれほど急速に拡散したのか、そして次にどのような脅威がやって来るのか、という謎の解明に取り組んでいます。


このカンファレンスでは、WannaCry に関するプレゼンテーションや展示(リンク先:英語)が数多く予定されています。


WannaCry が大流行した後、ソフォスはより強固な防御策を構築するため、何が起こったのかを徹底的に分析しました。その結果を以下に記します。


ソフォスの CTO である Joe Levy は先日、ハッキンググループの Shadow Brokers によってリークされた Microsoft Windows SMB 用の NSA 製エクスプロイトを利用して WannaCry がどのように拡散したのかを解説しました。
Levy は実際に起きたイベント、攻撃の仕組み、イベントのタイムライン、最新の攻撃を阻止する方法、今すぐ実行できる対策など、技術的な見解を発表しました。このプレゼンテーションはソフォスのウェビナーページで全編ご覧いただけます(リンク先:英語)


イベントの流れ


WannaCry の物語が幕を開けたのは、NSA の攻撃ツールが盗まれた 2013 年から 2016 年の間です。2016 年 8 月に Shadow Brokers は自らの存在を明らかし、その 6 か月後に NSA 製ツールをオークションにかけると発表しました。


Microsoft はこのエクスプロイトが Windows SMB を標的にしていることを知り、3 月にパッチを公開しました。しかし、その 2 か月後に WannaCry が拡散したことから、企業も個人もパッチを適用しなかったか、古いバージョンの Windows を使用していたことは明らかです。



調査の結果、3 段階の攻撃であることがわかっています。第 1 段階では、リモートからコードが実行され、高度なユーザー権限が取得されます。第 2 段階では、ペイロードが解凍されて実行されます。コンピュータの乗っ取りに成功した後の第 3 段階では、ドキュメントが暗号化され、身代金要求メモが表示されます。



SophosLabs などの研究機関は、これが典型的なランサムウェア攻撃ではないと判断しました。確かにペイロードが使用されていましたが、その感染経路は通常の不正な電子メールのリンクや添付ファイルではありませんでした。
WannaCry は、Windows Server Message Block (SMB) サービスの脆弱性を悪用することで、古典的なワームと同じ精巧さで拡散していました (SMB は Windows コンピュータがローカルネットワーク上のファイルやプリンタを共有するために使用するサービスです)。Microsoft はセキュリティ情報 MS17-010 でこの問題に対処しています。



このワームは、ランダムな IP アドレスを生成していました。IP アドレスが定義されると、ワームは悪意のある SMB パケットをリモートホストに送信して拡散しました。



得られた教訓

ソフォスのセキュリティ研究責任者である James Lyne は昨日、InfoSec で次のようにアドバイスしました。


  • 「政府主導のサイバー攻撃」や「国家的なサイバー犯罪」といった大げさで人目を引く話題に気を取られないでください。
  • ランサムウェアや先日の WannaCry の流行など、日常的に企業をターゲットとする便乗型攻撃が発生しても、地に足を着けて対策を講じてください。
  • エンドポイントセキュリティの使用、パッチの適用、推測されにくいパスワードの使用など、セキュリティの基礎を重視してください。

上記のアドバイスに従っていれば、先月の被害は発生しなかったかもしれません。しかし、今からでも実行することで今後の攻撃への対策を強化できます。


確かに、アドバイスを実践することは言うは易く行なうは難しです。パッチの適用が遅かったり、Windows の古いバージョンを使用したりしているからといって、その組織が必ずしも怠惰あるいは無関心であるとは限りません。


IT 部門が互換性を確保する目的でシステム設定を変更する間、他のプログラムに影響が及ばないようにパッチの適用を延期するのは以前から行われていることです。
また、古いバージョンの Windows を使用し続けている企業には、1) アップグレードするための財政的および人的リソースが不足している、2) レガシーシステムが Windows 10 などの新しいバージョンに対応していない、などの理由があります。


しかし、企業は現状のままではいられません。今後次のような問題が発生することは確実です。


  • ダークウェブでの RaaS (サービスとしてのランサムウェア) 市場の出現。ランサムウェアはステルス性、悪質さ、コストパフォーマンスなどが星の数で評価されるようになります。
  • ゼロデイ情報を提供する Shadow Brokers の月額制サービスの開始。攻撃ツールがより簡単に入手できるようになることで、今後 WannaCry 型の感染が多発する可能性があります。

Lyne は InfoSec で次のように語っています。


(引用文日本語訳) これらのサイバー攻撃の中には、過失とも言える失敗が含まれています。WannaCry は私たちに警鐘を鳴らしましたが、もっと深刻な被害が発生していた可能性があります。



追加のアドバイス

WannaCry 以降、ソフォスは Microsoft の脆弱性を悪用したマルウェア対策として以下のようにアドバイスしています。


  • 公開されるすべてのパッチを常に把握し、速やかに適用してください。
  • 可能であれば、古い Windows システムを最新のバージョンに置き換えてください。

今回のワームのペイロードはランサムウェアでしたので、その対策も以下に記します。


  • 定期的にファイルをバックアップしておき、オフサイトに最新のバックアップを保管してください。
    ランサムウェア以外にも、火災、洪水、盗難、ラップトップの落下、偶発的な削除など、さまざまな理由でファイルが突然利用できなくなることがあります。 バックアップを暗号化しておくと、バックアップが保存されているデバイスが悪意のある人間の手に渡った場合でも心配する必要がなくなります。
  • 不審な添付ファイルには十分注意してください。サイバー犯罪者は、ファイルを開くまではファイルの内容が分からないというユーザーの不安心理を悪用します。疑わしい添付ファイルは開かないでください。

  • Sophos Intercept X を使用してください。また、ホームユーザー (法人以外のユーザー) の方は、Sophos Home Premium Beta(リンク先:英語) にユーザー登録してください。ファイルの不正な暗号化をブロックして、ランサムウェアの実行を阻止します。

引用元

おすすめの記事はこちら