ここから本文です

Wanna Cryに攻撃手法を提供した「Shadow Brokers」とは何者か?

5/22(月) 11:27配信

THE ZERO/ONE

2017年5月12日頃から、ランサムウェア「WannaCry(WannaCrypt)」による被害が世界各地で報告されている。これほど多くの感染を短期間に引き起こしたランサムウェアの事例は、過去には見られなかった。そのため日本でも、「主に国外で被害を出しているランサムウェアが一般紙やニュース番組で大々的に取り上げられる」という珍しい状況となった。

「Wanna Cry」事件を理解するための2つのポイント

しかし事件を報じたメディアの一部には、あまり要領を得ない説明や、他のランサムウェア(あるいは他のサイバー攻撃)と混同しているような説明も少なくなかった。セキュリティに関心がない人にとって、この事件の概要を理解するのは困難だっただろう。中には「企業や病院から身代金を奪おうとした北朝鮮のハッカーが、米国の政府機関に侵入して、『諜報機関が開発したランサムウェア』を盗んだのだ」と思われかねないような、大胆な誤解を与えそうな報道もあった。

いったん問題を整理してみよう。セキュリティニュースとしてのポイントは、主に2つある。
 
(1)世界中の数多くの企業や組織がランサムウェアに感染した

この点には、何の目新しさもない。
過去に何度も伝えてきたとおり、ランサムウェアの被害は2015年~2016年の時点で爆発的に増えており、被害を受けるユーザーの幅も広がってきた。自宅でゲームを楽しんでいる個人ユーザー、様々な企業や病院、インフラ施設や教育機関、警察機関に至るまで、あらゆる対象が様々なランサムウェアに感染し、最悪の場合は完全に業務を停止させられるなどの深刻な損害に見舞われてきた。

今回の事件の驚異的な点は、「有名企業や医療機関のコンピューターがランサムウェアに感染して営業できなくなったこと」ではなく、「これほど大量の被害者が、ひとつのランサムウェアの活動で一度にやられたこと」だ。その大きな理由のひとつが次項(2)である。

(2)そのランサムウェアは、「NSAの武器を取り入れた強化版」だった

今回の一連の攻撃で利用されたのは「WannaCry(WannaCrypt)」と呼ばれるランサムウェアだった。感染先のファイルを暗号化し、「一週間以内にビットコインで身代金を振り込まなければ、あなたのファイルは二度と復元できない」というメッセージを表示するという、いわば一般的な恐喝スタイルのランサムウェアだ。古いバージョンのWindowsにしか感染しないという点も考慮するなら、OSのアップデートを行っているユーザーにとって、それほど恐ろしいランサムウェアではない。

しかし今回の攻撃に用いられたWannaCryには「ランサムウェアを送り込むための攻撃手法」に大胆な工夫がもたらされた強化版だったという大きな特徴がある。この新しいWannaCryは、「Shadow Brokersを名乗るハッカーがイクエーショングループ(※)から盗み出し、オンラインに公開したサイバー兵器」の技術を取り入れていた。

より具体的に記すと、このマルウェアにはNSA(National Security Agency:アメリカ国家安全保障局)が武器にしていた2つのサイバー攻撃ツール「EternalBlue(Windows SMBのエクスプロイト)」と「DoublePulsar(エグゼキューションツール)」が用いられていた。これらはいずれもShadow BrokersがNSAから盗み出した、Microsoft WindowsのSMBの脆弱性に使われるツールだった。つまりWannaCryはNSAの攻撃手法を模倣したランサムウェアだと言える。
 
※イクエーショングループ…世界で最も高度な攻撃を行うハッカー部隊で、その正体は米国NSAそのもの(あるいはNSA内の一組織)だと考えられている。現在、それを疑う人はほとんどいないのだが、NSAはイクエーショングループとの関係を認めていない。したがってNSAは「Shadow Brokersが我々の攻撃ツールを盗んだ」と報告してはおらず、その問題についてノーコメントを貫いている。しかし今回のWannaCryのニュースを報じた多くの報道機関は、「NSAから盗まれたツールが攻撃に利用された」と表現しており、それに対する抗議もないようだ。

1/5ページ

最終更新:5/22(月) 11:27
THE ZERO/ONE