英Sophos、ガイダンスやタイムラインなどWannaCry分析資料

英Sophos、ガイダンスやタイムラインなどWannaCry分析資料

画像提供:マイナビニュース

世界を襲ったランサムウェア「WannaCry」の攻撃に対し、英セキュリティベンダーのSophosがWannaCryランサムウェアのガイダンスなどの情報を紹介している。同社にはなぜこのような攻撃が可能になったのかをはじめ、多数の疑問が寄せられているという。

「Wanna」(WannaCry、Cry、WanaCrypt、WanaCryptOr、Kana DeCryptOrなどの異名でも知られる)は高速に拡散し、5月12日以降世界中のコンピューターシステムを人質にしてしまった。まず、英国の国民保健サービス(NHS)は大きな損害に遭い、電話回線やITシステムも人質となった。攻撃はそこから世界中に広まった。

WannaCryは被害者のファイルを暗号化し、拡張子を.wnry/.wcry/.wncry/.wncryptなどに変更する。その後、下記のようなウィンドウがユーザーのコンピューター上に表示され、身代金を要求。分析により、攻撃ではShadow Brokersと呼ばれるハッカーグループがリークしたNSA(米国家安全保障局)のコードが使われていたことがわかっているとしている。Shadow BrokersのAPT(高度サイバー攻撃)であるEternalBlue Exploit(CC-1353)の変種を利用していたほか、強い暗号化を使ってドキュメント、画像、動画などのファイルに暗号をかけていたと一連の流れを述べている。

典型的なランサムウェアは被害者が電子メールに添付された悪意あるファイルやリンクをクリックすることで始まるが、今回のWannaCry攻撃では、マルウェアは遠隔からコード実行される脆弱性(RCE)を悪用し、ユーザーが何もしなくてもパッチが当てられていないマシンに感染することができる点を10年前のSlammerやConfickerなどのワームと同じように広がった点を特徴として挙げており、フィッシングにおけるクリックなどユーザーの行為を介すこと無く、感染させる行為が大規模な拡大を呼び起こす点は、ランサムウェアがスポットを浴びる前のワームの爆発的な拡大と類似する。今回、多くのベンダーもその点を特徴として危惧している。

また、WannaCryの経過を分析したタイムラインを公開しており、2013年まで遡るNSAのTools盗難からハッカーグループShadow Brokersによるオークションへの出品、2017年2月のMicrosoftのパッチ提供の中止、3月のサポートOSに向けたSMBアップデート、5月12日(現地時間)のアウトブレイク、5月13日(現地時間)のXPやWindows Server 2003に向けたSMBアップデートと両者の攻防を時系列で表しており、攻撃は3ステージに分けられ、おそらくフィッシングメールなどのリンクから始まるような典型的なランサムウェアとは異なり、リモートによるコードの実行からマルウェアが特権ユーザーを得て、ペイロードを実行することで広がったと分析している。

学ぶべき事としては、当然に脆弱性を防ぐパッチの早期適用を挙げている。しかし、システム全体の互換性の検証の問題がある。未検証でのパッチ適用のデプロイは、他の問題を引き起こす可能性があるため慎重さも要求される。板挟みを引き起こすこの問題だが、今回のようなケースではパッチはポリシーに関わらず適用すべきであることを教訓とすべきであろうとしている。
(長岡弥太郎)