世界的なランサムウェア攻撃の後、WannaCryはどうなる?知っておくべきこと
2017年5月12日、WCry 2.0(WannaCry、Wanna Cryptorなど)と呼ばれる極めて強力なランサムウェアの亜種が世界中の多くの組織に蔓延し、初日で90カ国以上で約10万人の被害者に影響を与えました。WCry 2.0は英国の少なくとも16の病院に感染し、一部の病院は患者の受け入れを拒否しました。スペインの通信事業者、Fedex、ロシアの省庁、さらにはフランクフルトの鉄道時刻表を表示するコンピューターにも影響を与えました。
大まかに見ると、この新しいランサムウェアの亜種は他のランサムウェアの亜種と非常によく似ています。しかし、Windowsのネットワークの脆弱性を悪用し、ワームのようにより積極的に拡散します。具体的には、Shadow BrokersがNSAから漏洩したETERNALBLUEと呼ばれる脆弱性を悪用します。MicrosoftはこれをMS17-010として識別しています。このワームのようなネットワーク拡散能力こそが、このランサムウェアが他の多くのランサムウェアの亜種よりも急速に拡散した要因であると考えられます。
現時点では元の攻撃者が誰なのかは不明ですが、使用された手法から、これは実際には通常の犯罪的なランサムウェア攻撃キャンペーンであったことが示唆されます。これらの攻撃者がNHSや通信事業者を特に標的にしているとは考えられません。むしろ、NSAから漏洩した脆弱性を悪用したことで、特に効果的な犯罪的なマルウェア攻撃キャンペーンと言えるでしょう。
WCry攻撃から得られる重要な教訓は何でしょうか?このすべてから私たちは何を学べるでしょうか?
1. 迅速にパッチを適用 – このランサムウェアは、Windows SMBネットワークの古い脆弱性を利用してネットワーク内で自動的に拡散するとされています。具体的には、最近のNSAのエクスプロイト漏洩(ETERNALBLUE)に関連するMS17-010の脆弱性です。Microsoftはこの脆弱性を3月に修正しているので、パッチを適用していれば、この攻撃の側面から保護されているはずです。
2. 古いソフトウェアを再検討する –古いシステムをまだ利用している場合、パッチを適用することはできません。この亜種に感染した病院の中には、サポート対象外のWindows XPをまだ使用しているところもあります。マイクロソフトは、この脆弱性に対する「非常に異例な」修正プログラムをWindows XPおよびその他の古いWindowsバージョン向けにリリースしました。しかし、古いソフトウェアを使用している場合、通常は脆弱性を修正できないため、リスクにさらされていることを認識する必要があります。確かに、組織が古いシステムを廃止することが難しい状況もあります。それでも、古いソフトウェアがもたらすリスクを認識し、廃止できない場合は、保護のためにさらなる対策を講じる必要があることを認識する必要があります。それでもアップデートできない場合は、システムでSMBv1を完全に無効化する方法をマイクロソフトが提供しています。
3. 災害復旧および事業継続計画の策定 –このようなインシデントは、私たちがコンピューターやデジタル情報にどれほど依存しているかを浮き彫りにしています。停電、洪水、侵入、ランサムウェア攻撃など、原因を問わず、デジタルシステムはオフラインになるリスクにさらされています。だからこそ、すべての組織には災害復旧および事業継続計画が必要です。言うまでもなく、データのバックアップはこれらの計画において非常に重要な部分です。今回のランサムウェアのような大規模なインシデントは、多くの企業や組織が災害対策に十分な時間を費やしていないことを示唆しているようです。計画を立てたからといって災害が楽になるわけではありませんが、少なくともより迅速な復旧が可能になります。もし一つだけできることがあるとすれば、少なくともデータのバックアップは取っておくべきです。
4. 多層防御を活用する –完璧な防御は存在せず、防御策によって攻撃の様々な側面を捕捉できます。最善の防御策は、多層防御を実装することです。従来のウイルス対策(AV)も有効ですが、WCry 2.0などの最近のマルウェアは、リリース後数日または数時間でこれらの防御策を突破してしまうことがよくあります。AVは必須ですが、他の防御策も併用する必要があります。例えば、侵入防止サービス(IPS)は、今回の攻撃に利用されるWindows SMBエクスプロイトを検出・ブロックできたはずです。Webおよびメールセキュリティサービスは、この脅威を拡散しているサイトをブロックしたり、拡散に使用されたメール内の悪意のあるファイルを検出したりできたかもしれません。最も重要なのは、高度なマルウェア検出製品が、シグネチャソリューションが追いつくよりずっと前に、これらの新しいマルウェアの亜種を即座に検出できることです。
5. 高度なマルウェア対策への投資 –従来のマルウェアはパターンベースです。システムはまず新しいマルウェアを検知し、それを阻止するためのシグネチャを作成する必要があります。このような事後対応型のセキュリティでは、WCry 2.0のような新しいマルウェアの亜種を即座に検出することはできません。さらに、攻撃者はこれらのシグネチャを回避するために、マルウェアを定期的に再パッケージ化します。そのため、最新のマルウェア検出ソリューションでは、代わりに挙動分析を用いてマルウェアを検出します。ランサムウェアはファイルの外観を変えることはできますが、動作そのものを変えることはできません。高度なマルウェア対策ソリューションは、今回のような全く新しいマルウェアの亜種を即座に検出できる場合が多いです。完璧なソリューションは存在しませんが、最新のマルウェアを本当に検出したいのであれば、挙動検出を活用して新しい脅威を検出する、より高度なソリューションが必要です。
最新のランサムウェアの被害者になった場合のヒントは何ですか?
• まず、感染したコンピュータをできるだけ早くネットワークから削除してください。WCry攻撃は、Windowsのネットワーク脆弱性を悪用してネットワーク内の多数のコンピュータに拡散します。さらなる感染を防ぐため、感染したコンピュータをネットワークの他のコンピュータからできるだけ早く分離する必要があります。
• 次に、暗号化されたファイルは数週間保管しておきましょう。バックアップがない場合、ファイルを復元できる可能性は極めて低いです。最近のランサムウェアの多くは、業界が解読できないほど堅牢な暗号化方式を使用しています。しかし、それでもなお、ミスをするマルウェア作成者も少なくありません。少なくとも1人の研究者が、WCry 2.0の暗号化方法は研究者が解読できる可能性があるとツイートしています。この方法を当てにすることはできませんが、万が一研究者が復元方法を発見した場合に備えて、暗号化されたファイルは保管しておきましょう。
• 最も重要なのは、身代金を支払わないことです。しかし、すべての人にこれを強制することはできません。重症患者を救おうとしている病院であれば、他の多くの病院とは異なる優先順位を持っているはずです。それでも、身代金を支払う被害者が増えるごとに、攻撃者の戦術がいかに儲かるかが明らかになるということを認識してください。ランサムウェアがこれほど蔓延しているのは、犯罪者が依然としてそれで何百万ドルも稼いでいるからです。身代金を支払えば、犯罪者は将来もこのような攻撃を続けるでしょう。
この事件は、2017年のセキュリティについて私が抱いていた2つの予測を思い出させます。1つ目は、「ランサムワーム」、つまりワームのようなエクスプロイトや技術を用いて内部拡散するランサムウェアの出現を予測することでした。もう1つは、「サイバー冷戦」によって民間人が犠牲になるという予測でした。これは、国家が蓄積してきた脆弱性やエクスプロイトが、最終的に民間企業や組織への攻撃に利用されるようになることを意味します。発生から2日後、マイクロソフトはブログ記事を公開し、「人々をオンラインで安全に保つための緊急の共同行動」を求め、政府が脆弱性を蓄積する慣行を批判しました。
一般的に、国家がゼロデイ脆弱性を蓄積するためにメーカーから欠陥を隠蔽すべきではないと思います。悪意のある犯罪者や敵対的な国家が欠陥を発見しないという保証はありません。したがって、ベンダーから欠陥を隠すことは、誰もがリスクにさらされることを意味します。さらに、NSAの漏洩は、国家がゼロデイ脆弱性のリポジトリを保護できないことを証明しています。その結果、多くの民間企業が、もし隠蔽されていなければずっと早く修正されていたかもしれない脆弱性の被害を受けました。国家は、セキュリティホールやソフトウェアホールを隠蔽して自国の目的に利用するのではなく、修正にもっと時間をかけるべきだと私は考えています。いずれ、すべての脆弱性は漏洩してしまうのです。
