2017年 最も悪質な大規模感染「WannaCry」から学ぶ今後の教訓

今年、ランサムウェアで一番被害が大きかったものは WannaCry ではなかったでしょうか。McAfee の2017年10大インシデントでも、一番に上がったことからも話題性が高かったといえます。WannaCry は、新しい手法で、瞬く間に感染が拡がっていった厄介なマルウェアという印象が大きいのではないでしょうか。進化を続けているランサムウェアに対して、効果的な対策はないものでしょうか。WannaCry 感染に至るまでの経緯を追ってみると、そこから今後活用すべき対策や兆候も見えてきます。失敗学っていうのも一時期はやりましたね。最近は、あまり聞かなくなっていますが、失敗から学ぶことはセキュリティの対策の重要要素の一つでしょう。
以下、大きく経緯と考察の2つに分けて追っていきましょう。

1. 経緯

では、それぞれの経緯を追っていってみましょう
・WannaCry の大感染は、事前に対処法がなくて感染したわけではなかった。
・危険なシグナルや兆候があり、専門家は把握していた。
・脆弱性へのアップデートは事前にリリースされていた。

WannaCry の感染に至った経緯を、時系列にまとめてみました。
<その前に、闇組織の名称説明をします。The Shadow Brokers とは、突如現れた闇のハッカー集団
The Equation Group とは、高度な闇のハッカー集団。NSA (米国家安全保障局) のサイバーインテリジェンスの部隊とも噂されており、諜報目的のサイバー攻撃ツールを開発している集団>

2016年8月
@shadowbrokerssというTwitterアカウントが作成され、The Equation Groupからマルウェアと攻撃ツールをハッキングしたというツイートがありました。2016年の終わりまで、オークション、クラウドファンディング、直接販売などのつぶやきが何度か行われ、様々なファイルやスクリーンショットが提示されましたが、実際の実行ファイルが提供されることはありませんでした。インターネット上でこれらのツールを使用した攻撃は確認されていません。

2016年9月14日: Microsoft
セキュリティ情報(MS16-114)で、Microsoft Server Message Block(SMB)バージョン1に重大な脆弱性が存在し、リモートからコードが実行される可能性があることが公表されました。この情報によると 2002年12月に類似した重大な脆弱性がWindows 2000とWindows XPで見つかっています。
マイクロソフト セキュリティ情報 MS16-114

2016年9月16日: Microsoft
ブログ記事「Stop using SMB1」(SMB1の使用を中止する)に重要なメッセージが記載されています。ブログに記載されている手順に従ってSMB1を無効にするべきです。とのコメント
Stop using SMB1

2017年1月16日: US-CERT(U.S. Computer Emergency Readiness Team)
「Disable SMB1」(SMB1を無効に)という短い、簡単なメッセージで、ネットワーク境界でSMBのすべてのバージョンをブロックするように呼びかけました。

2017年2月10日: 韓国
別のランサムウェア攻撃が韓国で発生し、100台のコンピューターが被害を受けました。この攻撃で2017年5月に公開されたツールやWindowsエクスプロイトは使用されていませんが、コードの中に「wcry」という文字列が含まれていました。攻撃手法はそれほど高度なものではなく、範囲も限られていたため、大きく報じられることはありませんでした。The Shadow Brokersが攻撃ツールを公開する前の事象です。

2017年3月15日: Microsoft
The Shadow Brokersがツールセットを公開する1か月前、Microsoftはセキュリティ情報(MS17-010)でSMB v1の脆弱性を解決する更新をリリースしました。この脆弱性が悪用されると、不正なメッセージによってリモートからコードが実行される可能性があります。更新が提供されたオペレーティング システムはWindows VistaからWindows 10に及び、Windows 2000とWindows XPに対する修正も提供されました。
マイクロソフト セキュリティ情報 MS17-010

2017年4月14日: The Shadow Brokers
The ShadowBrokersは4月14日、米国国家安全保障局から盗み出したツールとして250MBのソフトウェアを公開しました。これらのツールは基本的にWindowsの脆弱性を攻撃しますが、その脆弱性の殆どにパッチが公開されています。初期の報告では、エクスプロイトの多くはゼロデイの脆弱性とされましたが、その後の調査でこれが間違いであることが明らかになりました。

2017年5月12日: WannaCryによる大規模な攻撃
アジアで最初の感染が報告された後、時間とともに世界中に被害が広がりました。わずか24時間で30万台以上のコンピューターに感染し、被害は150か国以上に広がりました。標的になった業種は多岐にわたっています。

このランサムウェアはユーザーの操作がなくても感染します。感染すると、身代金を要求する画面が表示されます。コンピューターを再起動すると、ブルースクリーンエラーが発生します。
ファイルは暗号化され、.wnry、.wncry、.wncrytという拡張子が付きます。

WannaCry は、ランサムウェアと自己増殖型ワームを組み合わせた最初の攻撃であったため、短時間で急速に感染が広まりました。SMB v1 (MS17-010) の脆弱性を悪用して、リモートからコードを実行するのと同時にシステム権限を取得します。コンピューターに感染後、パッチが適用されていないWindowsマシンにネットワークを介して短時間で拡散します。VPNリンク経由で拡散する可能性もあります。
5月12日の午後までに、複数のセキュリティベンダーが脅威情報とマルウェア シグネチャの更新をリリースしました。これにより、ファイル ハッシュ、IPアドレス、ドメイン名、ファイル名、文字列、レジストリ キー、Bitcoinウォレットなど、マルウェアの痕跡が公開され、確認されているすべてのWannaCryサンプルが検出可能になりました。

というのが、時系列で追ってみた経緯です。

2.考察と対策

時系列の経緯から言えることは、全く新しい脅威ではありませんでした。
脆弱性に関しての注意喚起は、最初に遡れば9か月ほど前から出ていましたし、大規模攻撃の2か月ほど前に、マイクロソフト側で SMB version 1への脆弱性のパッチがリリースされていました。
それでも、大規模攻撃で大きな被害が起きたということは、組織の脆弱性の対策が十分ではなかったわけです。守る側の準備や体制が整っていない現実があります。
WannaCry での明らかに言えることは、組織的なセキュリティ対策が不十分だったということでしょう。問題解決アプローチで一番簡単なアプローチは、問題点の裏返しというものです。それは、組織的なセキュリティ対策の強化がとるべき対策でしょう。
まずは現状把握という意味でも、IPA (情報処理推進機構) のサイト(組織の情報セキュリティ対策自己診断テスト)を参考にされるといいでしょう。企業の情報セキュリティマネジメントの考え方やガイドも参考になります。

また、情報セキュリティのマネジメントでも、進んだ組織ではリスクベースのセキュリティアプローチを考え方として取り入れて、対策を講じることが最善のようです。測定の方法としてリスクアセスメントを実施して、組織にあったアプローチを採用、結果的に組合せアプローチを採用する組織が多いようです。

IPA (情報処理推進機構) では、セキュリティの管理手法を簡潔に説明しています。

被害を最小限にするためにも、守るべき資産を明確にし、脅威と脆弱性を把握しておき、それを随時見直していくことが重要です。