ここから本文です

世界的サイバー攻撃が「低レベル」なのは本当か

5/17(水) 5:40配信

ITmedia ビジネスオンライン

 ここのところ、世界規模のサイバー攻撃が大きく報じられている。

 5月12日、何者かによって、世界で150を超える国と地域にサイバー攻撃が行われた。この攻撃は「ランサムウェア」を使ったもので、マイクロソフト製のOS「Windows」を標的にし、感染するとすべてのファイルを暗号化して利用できなくする。そしてそれを復元するために金銭を要求するという犯罪行為だ。

【身代金を支払っても復元できないかもしれない】

 スペインのコンピュータ緊急事態対策チームによって最初に報告されたこのランサムウェアは、ロシアやウクライナ、インドや台湾が最も被害を受けており、犯人は北朝鮮やロシアなどに関係があるハッカーらだとする指摘も出ている。

 このニュースの大きなポイントは2つ。まず、この攻撃はきちんとマイクロソフト社のWindowsをアップデートしていれば避けられた可能性が高いということだ(サポートが終了していたXPについては、企業はできる限り早く新しいバージョンへの変更をすべきだった)。つまりセキュリティ意識の低さがもたらした問題だったと言える。特に英国の病院などでは治療に影響が出たこともあって、人命にも関わる施設などではアップデートを怠ってはいけないという警鐘になったはずだ。

 もう1つのポイントは、このランサムウェアが狙ったWindowsのぜい弱性は、米NSA(国家安全保障局)が密かに作っていたサイバー攻撃ツールで使われていたものだったこと。この攻撃ツールは2017年4月に暴露されており、それが利用された攻撃だった。

 史上最悪規模と言われるこの攻撃は、サイバー攻撃の歴史を見ても、重要なケースになる可能性がある。サイバーセキュリティの現状を知るために、今回の事件をじっくりと見ておく必要がある。

●どのように感染が広がったのか

 まずは、どう感染が広がったのか。

 攻撃者は最初に、電子メールやハッキングによって、PCなどに「WannaCry」と呼ばれるランサムウェアを感染させた。このマルウェア(不正プログラム)は一度感染すると、他のPCにも感染を広げ、データなどをロックし、暗号化してしまう。そうなると、ファイルなども開けられなくなり、PCは通常通りに使えなくなってしまう。すると使用環境に応じた言語のメッセージが表示され、PCを元どおりにしたければ、3日以内にビットコインで300ドル、7日以内なら600ドルを支払うよう要求される。

 すでに述べた通り、英国の病院では、ネットワークにアクセスできなくなって手術が停止したり、患者のデータにアクセスできずに治療が行えない状況になっている。ちなみに英国の病院などは、2015年から何度もランサムウェアの攻撃を受けていたのに、きちんと対応をしてこなかった。またインドネシアの病院でも同じような状況が報告されている。

 今回の攻撃は、Windowsのぜい弱性を突いたものだった。マイクロソフトは2017年3月にこのぜい弱性を修正するセキュリティーパッチを公表したが、インストールしていない利用者が多かった。またマイクロソフトのXPは2014年にサポートを終了しており、修正パッチが提供されていなかったため、XPを使っていたシステムは影響を受けたと言われる。XPについては、今回の攻撃後にマイクロソフトはパッチを提供した。

 「身代金」を支払わなければ、PCやファイルは復元できない。復元するにはビットコインの3つのアカウント(ウォレット)に、ビットコインで支払う必要があり、すでに支払っている人も少なくない。

 攻撃から現時点でいくらが支払われたかについては、その状況を監視しているTwitterのアカウントがあり、5月15日現在ではすでに139件の支払いが行われて、約3万8747ドルが支払われていることが分かる。ただ残念ながら、今のところ支払った人たちが暗号化を解除するプログラムを受け取った報告はない。

●今回の攻撃は「レベルが低い」といった声も

 大事なデータを勝手に暗号化されて、解除したければ金を払えとは、とんでもない犯罪である。だがこのランサムウェアによる攻撃は、以前からすでに世界で猛威を振るってきた。2016年1~3月だけを見ても、2億ドル以上の損失を出す規模になっている。2015年には2400万ドル程度だったことを考えると、急激に増加していることが分かる。2016年はその状況を指して、「ランサムウェアの年」とも言われた。そしてその勢いは止まらないと言われており、将来的にランサムウェアは年間10億ドル規模の犯罪になるとの声もある。引き続き警戒が必要だ。

 ちなみに今回の攻撃は、「大してレベルが高くない」という指摘もある。身代金の額は低いし、同じ攻撃をもっと重要なインフラ施設(電力など)にすることもできるからだ。

 また、今回の攻撃は別の側面からも注目されている。というのも、この攻撃で使われたWindowsのぜい弱性は、もともと米NSA(国家安全保障局)が作っていたサイバー兵器で使われていたものだったことだ。米軍が作ったサイバー攻撃武器が金銭目的の犯罪者に悪用されたケースなのだ。

 このサイバー兵器を“盗み出し”て、暴露したのは「シャドウブローカーズ」と呼ばれる謎の組織である。ロシアとの関係が指摘されているこの組織は、米NSAとつながりのあるイクエージョングループという集団を経由して、NSAが使っているサイバー攻撃武器を盗み出したとされる。

 そして2016年の夏に、イラン核燃料施設を破壊した世界初のサイバー兵器「スタックスネット」よりも強力な武器をオークションするとぶち上げ、ビットコインで最も金を支払う人に武器を売るとオークションを始めた。またそこにはサンプルの武器ファイルも付けられていた。その後、手を上げる人がいなかったことで、シャドウブレーカーズは何度か情報を暴露しながらメッセージをアップし続けた。

 2017年4月には、ついにNSAのサイバー兵器をネット上で暴露するに至る。今回の世界的サイバー攻撃に使われたWindowsのぜい弱性は、この時に暴露されたサイバー攻撃兵器のひとつに使われていたものだった。その武器とは、「EternalBlue(エターナルブルー)」と呼ばれるもので、ファイルの共有やプリンター接続などを悪用する攻撃で使われるものだ。ただこのぜい弱性は2017年3月にマイクロソフトがパッチを出していた(ぜい弱性の暴露前に情報を得ていた可能性が指摘されている)。

●高い金額で、地下売買が行われている

 マイクロソフトがこの修正プログラムのパッチを出すまで、このぜい弱性の存在は基本的にNSA以外、誰も知らなかった。つまりこれは、「ゼロデイ」(未知のぜい弱性)と呼ばれるセキュリティの穴だったことになる。誰もそのセキュリティの欠陥を知らないため、セキュリティ対策は行われず、NSAはそれを悪用してWindowsに侵入していた(逆にマイクロソフトがそのぜい弱性に気が付けば、修正するパッチを公表するためにもう攻撃はできなくなる。それでは困るので、NSAはそのぜい弱性の存在を秘密にし続けていた)。

 実のところ、NSAは「ゼロデイぜい弱性」を使って、数多くのサイバー攻撃兵器を開発している。サイバー兵器の重要な部分となるゼロデイぜい弱性は、世界的に高額で取引されている貴重な商品だ。そもそも、ソフトウェア会社などが自社製品の安全性向上のために公然と自社製品のゼロデイぜい弱性を買い取ることもあり、マイクロソフトもゼロデイ買い取りに10万ドルを提供していたし、グーグルなども同じように買い取りをしている。

 一方、高い金額で、地下売買が行われているケースも多い。世界各国の政府がゼロデイを購入していると言われ、世界で最も多く購入しているのは米NSAだと言われている。NSAはゼロデイ購入に年間予算2500万ドル以上を分配していたこともあり、数千のゼロデイぜい弱性を保有していると聞く。また中国が保有するゼロデイも、2000をくだらないという。

 ハッキングなどが難しいと言われるiPhoneのゼロデイぜい弱性に至っては、FBI(米連邦捜査局)がテロ事件の捜査で犯人が使っていたiPhoneに侵入するために、100万ドル近くを支払って購入したことが判明している。

●あなたのPCは大丈夫か

 こう見ると分かる通り、今回の世界的サイバー攻撃の裏には、米NSAのサイバー兵器が存在する。もっと言うと、NSAがマイクロソフトなどメーカーに報告することなく隠しもっている「ゼロデイぜい弱性」が元凶だともいえる。

 シャドウブローカーズは今回のサイバー攻撃に使われた以外の、NSAのサイバー武器をいくつかすでに暴露している。ただ、NSAが使っているそれ以外のサイバー武器も数多く保有していると見られており、これからそれらが次々と暴露される可能性もある。そうなると、きっと今回のようにそこで使われるぜい弱性を悪用しようとする輩が出るだろう。そうした武器で被害に遭わないように、私たちができることは、自分のコンピュータシステムを常にアップデートして最新状態にし、データのバックアップも怠ってはいけない。

 さもないと、あなたのPCが次のランサムウェアによってある日突然使えなくなってしまうかもしれない。

(山田敏弘)

Yahoo!ニュースからのお知らせ