ロシアKasperskyのグローバル調査チーム(GReAT)は、ランサムウェア「WannaCry」(別名「WannaCrypt」「WanaCrypt0r」「Wanna Decryptor」「WCry」など)について現状をまとめたブログを公開した。
エクスプロイト「EternalBlue」が脆弱性を悪用するTCP 445番ポートへの通信は5月11日に急増
Kasperskyによれば、WannaCryの攻撃は、ネットワークファイル共有プロトコル「SMB v1」の脆弱性を悪用するエクスプロイト「EternalBlue」を使ってバックドア「DoublePulsar」をインストールし、システムへ感染するものだという。EternalBlueは、ハッカー集団の「Shadow Brokers」が米国国家安全保障局(NSA)より窃取し、4月に流出させたものだ。
感染経路については、メールを介した攻撃は確認していないという。しかし、一部では、セキュリティが侵害されたウェブサイトが使われたことを示唆する手がかりを得て、現在調査を進めているとしている。そして、WannaCryがこれほど感染を拡大させた理由として、ユーザーの操作を必要とせずにインターネットを介して攻撃を実行可能であることを挙げている。
Kasperskyの調査によれば、SMB v1の脆弱性を悪用するTCP 445番ポートへの通信は、主に英国などで被害が拡大した日の前日となる5月11日に急増していたという。
TCP 445番ポートへの日別接続数
なお、EternalBlueによる攻撃では、SMB v1に加え、SMB v2への通信も利用されるという。SMB v1の無効化に比べ、SMB v2を無効にすることは影響が大きいため、SMB v1の無効化が強く推奨されているわけだ。
WannaCryにおけるキルスイッチの仕組み
WannaCryが脆弱性を悪用して感染を拡大するワーム機能は、まずインターネット上の特定のドメインへ接続を試みて、接続に失敗した場合は攻撃を続行、成功した場合はワーム機能を停止する。この仕組みが「キルスイッチ」だ。
WannaCryにキルスイッチが実装された理由について、攻撃が制御できなくなった場合の増殖を止める手段、あるいはサンドボックスによる検証を避けるためのいずれかとKasperskyでは推測している。
キルスイッチの仕組みを利用した英国のリサーチャーが、存在していなかったサイトのドメインを登録することで、ワーム拡散の抑制に成功している。この結果、Kasperskyによる調査では、グリニッジ標準時の5月15日の6時以降は、5月12日初期と比較して攻撃が6分の1にまで減少したという。
ただし、17日2時ごろに拡散を開始した最初の亜種は、キルスイッチの接続先ドメインが変更されていた。このドメインに対しては、Comae Technologiesのマット・スイーシュ氏が同様にドメインを登録し、1万以上の感染拡大を阻止したとツイートしている。
最初のWannaCry(左)と、その亜種(右)のコード比較
Since registering the 2nd killswitch yesterday, we stopped ~10K machines from spreading further – mainly from Russia.#WannaCry#OKLMpic.twitter.com/eQziRoq8UN— Matthieu Suiche (@msuiche)2017年5月15日
また、その後にはキルスイッチを削除した亜種も登場しているという。ただし、Kasperskyによれば、キルスイッチを削除した亜種は感染が拡大していないとのことだ。
身代金の支払っても暗号化されたデータが戻る保証はない
WannaCryが身代金の支払いに用いるBitcoinの取引については、追跡の試みがなされている。これによれば、5月15日の時点で31BTC以上、5万5000ドル近くが支払われているとのことだ。ただし、攻撃者がこのBitcoinで何か購入し、決済が発生すれば、そこから出荷情報や利用サービス、その他IPアドレスなどの追跡を行うことが事実上可能となり、逮捕の可能性も高まるとしている。
WannaCryウォレット追跡サイト、5月15日時点の金額
Kasperskyでは、WannaCryの被害が受けたユーザーが身代金を支払うことについて、「世界中がこの攻撃活動を追い、できる限り阻止しようとしている状況では、攻撃者が約束を守ってくれると期待する理由が見当たらず、支払った身代金は次の攻撃の資金源になる」として、明確に支払いを行わないように促している。
このほか、WannaCryの2017年2月時点でのごく初期の亜種と見られる検体と、サイバー攻撃集団「Lazarus」による2015年2月の検体に類似点が見られることも、ブログで明らかにしている、。
ランサムウェア「WannaCry」の初期の亜種(左)と、サイバー攻撃集団「Lazarus」による2015年2月の検体(右)の比較。共通する部分が赤枠で囲まれている
Kasperskyでは、WannaCryへの対策として何よりも最初にすべきこととして、SMB v1の脆弱性に対してMicrosoftが配布しているセキュリティ更新プログラム「MS17-010」をインストールすることを挙げている。これができないときには、SMB v1自体の無効化や、これが用いる445番ポートの通信を遮断するべきとしている。もしWindows XPを使用している場合は、ただしに使用を止めるべきとしている。
さらに、データの定期的なバックアップと、オフライン環境へのバックアップデータの保管、ネットワークのセグメント分けなども推奨している。また、暗号化型ランサムウェアからの保護を目的としたマルウェア対策製品の導入も、対策に挙げている。
日本時間で17日23時から開催された「企業が取るべきWannaCry対策」についてのウェブセミナー関連リンク カスペルスキー公式ブログの該当記事 カスペルスキー公式ブログの該当記事(WannaCryとLazarusグループ) カスペルスキー公式ブログの該当記事(企業が取るべき対策)
関連記事
ランサムウェア「WannaCry」は複数経路で侵入、グローバルIPアドレスの445番ポート直接スキャンも?
2017年5月17日ランサムウェア「WannaCry」の侵入経路は? トレンドマイクロが解説
2017年5月16日「WannaCry」ランサムウェアについて知っておくべきこと、シマンテックが解説
2017年5月15日被害拡大のランサムウェア「WannaCryptor」は「SMB v1」の脆弱性を悪用、サポート終了のWindows XP向けにも緊急パッチ提供
2017年5月15日