「WannaCry」史上最悪のランサムウェアはいかにして生まれたか

史上最悪のランサムウェア「WannaCry」

ハンク・グリーン氏：2017年5月12日金曜日、ニュース欄をにぎわせていたのは、「イギリスの病院がシステムにアクセスできず患者を帰していた」「フランスの車工場で閉鎖を余儀なくされた」「スペインの電気通信会社は従業員にコンピューターのシャットダウンを命じた」……などなど。

世界中のコンピューターで「WannaCry」という大規模なハッキング攻撃による感染が発生し、世界的なコンピューターの大混乱が起きたのです。

5月14日までに、150ヶ国以上で20万台以上のコンピューターの感染が起きました。しかしながら、この攻撃による長期的なダメージは起きなかったようで、ハッカーが手にした金額も総額わずか10万ドルほどということでした。

私たちはちょうど、史上最大、かつ史上最も奇妙なコンピューター攻撃の1つを目の当たりにしたと言えます。

WannaCryは、ランサムウェアという種類の攻撃の1例で、感染したコンピューターのデータを暗号化してしまいます。ファイルへのアクセスを回復させることと引き換えに、ハッカーらは身代金を要求します。

今回の件では、300ドルあるいは600ドル分のデジタル通貨ビットコインの要求がありました。

世の中にはさまざまな種類のランサムウェアがありますが、WannaCryは、安全対策の専門家によればアメリカ国家安全保障局（NSA）が開発したとするツールを使って急速に感染を広げました。

誤解のないように言うと、NSAの興味の対象は身代金ではなく監視のみにあったわけですが、Microsoftソフトウェアの安全性上の弱点を利用するツールを開発したのもNSAです。

「EternalBlue」とも呼ばれるこのツールは、「Server Message Block」「SMBプロトコル」と呼ばれるものの脆弱性を悪用するものです。

SMBプロトコルとは簡単に言うと、ネットワークを通じたファイルアクセスを共有するシステムです。常に大勢の人が利用していますが、おそらくみなさんが耳にしたことがないのは、通常は全面的に安全なものだからです。

NSAが発見したのは、Windowsのいくつかのバージョンでは、SMBプロトコルがだまされて遠隔攻撃者からデータパケットを受け入れてしまう可能性がある、ということでした。EternalBlueはこの欠点を侵入口として利用することで作られたのです。

考えてみるとかなりそら恐ろしいですが、NSA外の人がそのことを知る由もなく、今年初めに起こった流出がなければ、WannaCryは存在しなかったかもしれません。

更新プログラムをインストールすることが大切

4月、「Shadow Brokers」というロシアと繋がりがあると考えられているハッカー集団が、NSAからEternalBlueを盗み、その悪用についてオンラインで公開しました。

Microsoftは直ちに、Windows 7やWindows 10など、現在も公式にサポートしているオペレーティングシステム（OS）の問題に対するパッチを公開しました。理論上は、これで起こり得る問題の阻止ができたはずで、EternalBlueは使い物にならないはずでした。

しかし問題は、全員が全員、実際にパッチをインストールしたり、システムを定期的に更新したりするわけではないということです！　だってみなさん、「明日！　明日またリマインドして！」と言いながら「後で」ボタンを押してしまうこと、ありますよね。煩わしいですから！

それから、Windowsのコンピューターの5パーセント以上は未だにXPを使用しているのです。3年前からMicrosoftがXPのセキュリティ更新の公開を行わなくなったにもかかわらず、です。

こうして、世界中の人々や組織は、サイバーセキュリティ上にぽっかり開いた穴に取り残され、WannaCryに利用されてしまいました。

イギリスのNHS（国営の医療サービス）による病院のシステムはとくに攻撃を受けやすい状況でした。なぜなら、つい昨年まで、NHSの病院の実に90パーセントの利用するコンピューターでXPが使用されていたからです。

16年もののOSを使用していることについて、病院を責めるのは簡単なことです。アップグレードはそんなに難しいことじゃなかろうに、と。ところが、実はそんなに単純なことではないんです。

MRIから顕微鏡まで、病院の扱うものはほぼすべてコンピュータープログラムを使用しており、新しいOSで正しく機能させることが難しい場合が多々あるのです。ですから、すべてをアップグレードするというのは、膨大なIT投資を行うということでした。

しかし、病院のデータはすべてバックアップが取ってあったために、攻撃から1日もたたないうちに、ほぼすべてが再稼働し、身代金の支払いも必要ありませんでした。

みなさんがすぐにはあの煩わしいソフトウェア更新のダウンロードやインストールをしないように、バックアップについても、全員に手抜かりがないかというと、違いますよね。

そうなんです、ほとんどの大きな組織は問題ありませんでしたが、個人の多くがデータへのアクセスを失うことになりました。

しかしそれも、ある人物がWannaCryに最大の欠点があることを発見するまでのことでした。その欠点というのは、キルスイッチというもので、イギリスの匿名のサイバーセキュリティ専門家がほぼ偶然見つけたものです。

MalwareTechという名で通っているこの一躍ヒーローとなった人物は、金曜日、WannaCryの拡散が起きている際にそのコードを調べていたところ、活動中のWebサイトに繋がる特定の文字化けしたURLがあるかどうかを確認できるように作られていることを発見しました。

そこで、彼はドメイン名の登録をし、何が起こるか様子を見ることにしたのです。そして判明したのが、キルスイッチはランサムウェアの作成者によって組み込まれたものだということでした。URLの登録は、マルウェアの感染拡大を食い止めたことを示唆するものでした。マルウェアの新型が現れては広がりましたが、そのほとんどにキルスイッチとなるドメイン名が含まれており、サイバーセキュリティ版もぐらたたきゲームとなりました。

攻撃を仕掛けているハッカーたちがなぜドメイン名をコードに組み込んだのか明らかになっていませんが、私たちにとっては幸運なことでした。

そして、これがまさにこの件の肝心なところで、ランサムウェアのEternalBlueをベースにした部分は実に手の込んだ高度なものなのですが、安全対策の専門家によれば、キルスイッチがあるというのは、素人並みのミスだといいます。

ハッカー集団が仕込んだ身代金支払いシステムの方法も同様でした。身代金の支払いを実際に行った人を把握できるようなコード化がされていないうえ、各被害者のファイルを手動で解読しなければならないような仕組みになっているのです。ほぼ誰もファイルの解読ができていなかったようでしたが、理由はこれで説明がつくかもしれません。ですから、もっと高度で精緻な攻撃が行われていたら、さらに大きな損害となっていた可能性があります。

現時点で、WannaCryやその模倣マルウェアの感染は他に起こっていないはずです。というのも、Microsoftが、Windows XPなど攻撃にさらされやすい古いOS用の1回限りの特別パッチを公開したためです。

ですので、何を使用していようと、あなたは安全なはずです……更新していればの話ですが。また、もしWannaCryに感染した場合には、安全対策の研究者らが公開した、コンピューターの再起動を行っていない限りファイル解読を行うことのできるツールがあります。

未だに、これを仕組んだ集団が誰なのかわかっていませんし、永遠にわからないかもしれません。これがマルウェアの地球一掃攻撃の最終回でないことは確かでしょう。ハッカーは常に新たな脆弱性を見つけ出しますし、すぐさま更新を行わない人も常に一定数いますから。

WannaCryから得た教訓は明白です。更新をインストールして、データのバックアップを取りましょう！