特別レポートWannaCrypt ランサムウェア ワーム (別名 WanaCrypt、WannaCry、Wcry) が本日、74 か国で爆発的に増加し、病院、Fedex を含む企業、鉄道駅、大学、少なくとも 1 つの国営通信会社、その他多くの組織に感染しました。
これに対応して、マイクロソフトは、XP や Server 2003 などのサポートされていないバージョンの Windows や最新ビルド向けに、マルウェアから防御するための緊急セキュリティ パッチをリリースしました。
要約すると、WannaCryptは、MicrosoftのSMBファイル共有サービスの脆弱性を悪用してネットワークを介して拡散するワームによって、脆弱なWindowsコンピュータにインストールされます。具体的には、レドモンドが3月に最新バージョンのWindows向けに、そして本日レガシーバージョン向けに修正プログラムを公開したMS17-010と呼ばれるバグを悪用します。したがって、修正プログラムが適用されていない残りのシステムはすべて脆弱であり、攻撃を受ける可能性があります。
このバグはかつて、NSA(国家安全保障局)が標的のハイジャックとスパイ活動に利用していました。そのための内部ツール「Eternalblue」はNSAから盗まれ、4月にオンライン上に流出しました。これにより、この米国政府のサイバー兵器は、誰にでも容易に入手できる状態になりました。そしてほぼ瞬く間に、インターネット上の数千台ものマシンのハイジャックに利用されました。
今、誰かがそのツールをランサムウェアに組み込んだ。その結果生まれたのがWannaCryptの亜種だ。SMB経由で拡散し、コンピューターに侵入すると、見つけ次第ファイルを暗号化する。ファイルの復元にはビットコインで300ドルまたは600ドルを請求する。オフィスや家庭のデータをロックすることで、機能を停止させるのが得意だ。
さらに、マシンを遠隔操作できるバックドア「Doublepulsar」もインストールします。これは、Eternalblueと並んでNSAから盗み出されたツールです。このマルウェアは、匿名化技術Torネットワークを介して制御され、隠されたサービスに接続して、マスターからのさらなるコマンドを受け取ります。
幸いなことに、コードにはキルスイッチが組み込まれていました。特定のウェブドメインの存在を検出すると、それ以上の感染を阻止します。このドメインは本日早朝、英国の情報セキュリティ担当者によって作成されました。担当者はリバースエンジニアリングされたバイナリ内に.comを発見し、この登録をランサムウェアが検知しました。これにより、ランサムウェアは即座に世界的な拡散を阻止しました。
魔法のドメイン「iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com」への接続はカリフォルニアのサーバーにシンクホールされ、このドットコムにアクセスしている感染システムの管理者には通知が届く予定だと伝えられている。「シンクホールからのIPアドレスはFBIとShadowServerに送信されているため、影響を受けた組織にはまもなく通知が届くはずです」と研究者は述べた。情報セキュリティ担当者は、最初にドメインを登録した後、それがキルスイッチだと気づいたことを認めた。とはいえ、仕事は完了した。
私たちが収集したより技術的な詳細へのクイックリンクをいくつか紹介します。
- Cisco の Talos チームはこのマルウェアを分析し、その構成要素を説明した。
- マルウェアのサンプル、コマンドアンドコントロール アドレス、身代金用の Bitcoin ウォレット アドレスなどにリンクするスクラップブック ページ。
- 悪質なソフトウェアの復号化されたサンプルはここにあります。
- Pythonで記述されたMS17-010のエクスプロイトとシェルコード例。これはNSAから盗用されたEternalblueツールをベースにしており、情報セキュリティ企業のRiskSenseによって開発されました。このエクスプロイトにより、SMBサーバーのバグはMicrosoftのコードに存在するバッファオーバーフローに起因することが明らかになりました。32ビット長が16ビット長に減算されるため、攻撃者はネットワークサービスに必要以上のデータを注入し、最終的にシステムを乗っ取ることができます。SMBv1を無効にすることでこのバグは無効化されるため、いずれの場合も無効化が推奨されます。また、SMBポート139と445を外部からファイアウォールで遮断し、内部ネットワークでは可能な限りサービスへのアクセスを制限する必要があります。
- 感染状況をリアルタイムで追跡するには、こちらをクリックしてください。世界中で少なくとも104,000人の感染者が確認されています。
- MalwareBytes では、ワームのコンポーネントに関する調査結果をここに掲載しています。
- Microsoftはお客様へのアドバイスをこちらに掲載しています。また、Windows XP以降のオペレーティングシステム向けの緊急パッチもこちらに掲載されています。必要に応じてインストールしてください。
この悪質なソフトウェアは本日、英国の国民保健サービス(NHS)を襲撃し、病院は緊急を要さない患者の診療を停止せざるを得なくなった。スペインの通信会社テレフォニカをはじめ、多くの組織にも被害を与えた。近年最大級のマルウェア攻撃の一つと目されるこのウイルスは、感染の大半がロシアで発生しており、ロシア内務省もその標的となっている。また、世界各地の要人も標的にされている。
♪世界中を旅したのに、データが見つからない… 出典: Kaspersky Lab
英国では16のNHS(国民保健サービス)がマルウェアの被害に遭ったと報じられています。テリーザ・メイ首相は、このコードが英国の病院を「麻痺させた」と述べ、英国の監視中枢である政府通信本部(GCHQ)が今回のアウトブレイクの調査を進めていると述べました。
エイントリー、ブラックプール、エセックスのブルームフィールド病院、コルチェスター総合病院、ダービーシャーのすべての病院システム、グレートヤーマス、イーストおよびノースハートフォードシャー、ノーフォークのジェームズ・パジェット病院、ラナークシャー、レスターにあるコンピューターがロックされた。
米国企業も被害に遭っている。フェデックスはザ・レグ紙に対し、「他の多くの企業と同様に、フェデックスもWindowsベースのシステムの一部にマルウェアによる妨害を受けています。可能な限り迅速に復旧作業を進めています。お客様にはご不便をおかけしましたことをお詫び申し上げます」と述べた。つまり、従業員は重要度の低いシステムの電源をオフにし、問題が解決するまでそのままにしておくよう指示されているということだ。復旧には週末丸々、あるいはそれ以上かかる可能性もある。
一方、スコティッシュ・パワーも被害を受けたと報じられましたが、同社は予防措置として一部の重要でないシステムを停止しただけだと説明しました。どうやらドイツの鉄道システムも感染したようです。
マルウェアの拡散に対抗するため、セキュリティ企業はファイルとネットワークトラフィックのシグネチャを公開し、ランサムウェアとワームを組み合わせたマルウェアの存在を検知して駆除しました。マイクロソフトは迅速に対応し、自社のシステム向けにマルウェアのシグネチャを公開しました。
「本日、当社のエンジニアは、Ransom:Win32.WannaCrypt として知られる新たな悪意のあるソフトウェアに対する検出機能と保護機能を追加しました」とマイクロソフトの広報担当者はThe Reg に語った。
3月に、この潜在的な攻撃に対する追加の保護を提供するセキュリティアップデートを提供しました。弊社の無料ウイルス対策ソフトウェアを使用し、Windows Update を有効にしているユーザーは保護されています。お客様と協力して、さらなるサポートを提供いたします。
NSAの暴露は私たち全員を危険にさらす
前述の通り、このワームはNSAのハッキングツール群から盗み出したEternalBlueとDoublePulsarのエクスプロイトを利用しています。NSAが標的としたバグが何年も前に修正されていれば良かったのですが、実際にはMicrosoftが3月に修正しており、4月にShadow Brokersがプログラムをオンラインに流出させる直前のことでした。NSAかShadow Brokersがレドモンドの巨大企業に情報を提供し、エクスプロイトが公に漏洩する前にSMBのバグを修正するアップデートをリリースしたと考えられます。
確かに、マイクロソフトはこれらのサイバー兵器によって攻撃された脆弱性に対処するためのセキュリティ修正プログラムを公開しましたが、規模の大小を問わず、ユーザーやIT部門の常として、全員がパッチを適用したわけではない、あるいは適用できないため、今やその代償を支払っている状況です。最初の感染源は、組織内の人々に送られたスピアフィッシングメールだった可能性があります。添付ファイルにマルウェアが隠されており、開封されると社内ネットワーク上でサイバー感染を引き起こします。このマルウェアはワーム要素を含むハイブリッド設計で、社内組織を通じて拡散することで最大限の効果を発揮します。しかし、最初の感染経路は正確には確認されていません。
Payload Securityの分析によると、このマルウェアはTorを含む複数のプログラムをシステムにドロップし、Windowsレジストリに自身を追加することで再起動後も存続します。ソフトウェアモジュールを取得して新たな機能を獲得するほか、リバースエンジニアリングを阻止するための様々な手法を用いています。実行ファイルの復号済みサンプルは上記のリンクから入手できます。
このコードは、接続されたストレージを含むコンピューター上の様々な文書を暗号化し、リモートデスクトップアクセスに必要なキーを盗み出します。ボリュームスナップショットを削除し、システム修復ツールを無効化します。また、感染したシステムの設定をスキャンしてユーザーの言語を判別し、被害者に適した言語で身代金要求メッセージを表示します。さらに、被害者の注意を引くためにデスクトップの背景も変更します。
カスペルスキーの調査によると、マルウェアの管理者は感染率の上昇に伴い、より貪欲になっているようです。初期の感染では300ドル相当のビットコインを要求していましたが、その後の感染通知ではこの金額が600ドルにまで引き上げられています。ビットコインの取引履歴を調べたところ、既に数千ドル相当のビットコインが犯罪者に送金されていることが分かりました。
カスペルスキーの研究チームは「世界74カ国、主にロシアで、WannaCryランサムウェアによる攻撃が4万5000件以上記録されている」と述べた。
「我々の視認性は限定的かつ不完全である可能性があり、標的と被害者の範囲ははるかに広い可能性がある点に留意することが重要です。」
何をすべきでしょうか?
これは単なる最初の波です。MS17-010 バグを攻撃して脆弱なシステムを密かに侵害する新しいワームを作成したり、WannaCrypt バイナリを改変してさらに被害を拡大したりする攻撃を阻止することはできません。
では、解決策は何でしょうか?すでに感染している場合は、システムを消去し、オフラインで影響を受けていないバックアップ(もしあれば)から再インストールする以外にできることはあまりありません。
マルウェア作成者がうっかりして、復号鍵をコード自体に仕込んでしまう可能性もある。過去にもこのようなミスがあった。研究者たちはコードをバイト単位で解析し、手がかりを見つけようとしているが、今回のマルウェアはかなり高度なソフトウェアに見えるため、その可能性は低いだろう。
感染していない場合は、セキュリティパッチが最新であることを確認してください。少なくともSMBv1を無効化し、ネットワーク外からのアクセスをブロックしてください。このマルウェアが利用するエクスプロイトは既にパッチが適用されているため、個人ユーザーとして感染する言い訳はありません。煩わしい企業ポリシーと膨大なワークロードを抱えるIT管理者が、パッチ適用を遅らせたり、適用できなかったりするのは当然のことです。インストール環境を更新できる場合は、すべてを中断してパッチを適用してください。
また、不明な相手からの添付ファイルをクリックするのもやめてくださると幸いです。®
クリス・ウィリアムズによる追加レポート。
