ここから本文です

「WannaCryはまだ終わっていない」──キルスイッチで毎日1000台が救われている

6/14(水) 7:55配信

@IT

 2017年6月9日、「Interop Tokyo 2017」の展示会場内セミナー『WannaCryがおしえてくれたこと』で講演を行ったJPCERTコーディネーションセンター(JPCERT/CC)の久保啓司氏(インシデントレスポンスグループ マネージャー)は、「2017年6月8日現在も、WannaCryのキルスイッチに接続するホストは同年5月12日のピーク時と同程度国内に存在している。つまり、再び被害につながる恐れのあるホストはまだまだ国内に存在している」と述べ、あらためてパッチ適用という基本の対策を徹底してほしいと呼び掛けた。

キルスイッチに接続するホスト数は、いまだに2017年5月12日のピーク時と同程度存在

 2017年5月13日から感染を広げ、世界150カ国で数十万台に上る被害を与えたとされる「WannaCry(WannaCryptor、WannaCrypt、Wcrypt、Wcryなどとも呼ばれる)」は、報道によっては「史上最大の影響を与えたランサムウェア」とも表現されている。JPCERT/CCは2017年5月13日、メディア報道を通じて状況を認識。SANS InstituteのWebキャストの他、各国のNational CSIRTと連携して情報収集を進め、午後には国内600カ所、2000端末で被害を受けている可能性を把握するに至り、「大きな事案」と判断し、注意喚起に当たったという。

 JPCERT/CCの観測網のデータによると、感染状況は2017年5月12日16時をピークに右肩下がりとなっている(一部データが取れていない時間帯もある)。国別に見ると、最初に最大のピークを迎えたのがロシアで、その後中国の感染数が増えたが、全体としてはおおむね収束に向かった形だ。日本の感染数はグラフの下の方にあり、それほど大きな被害があったわけではなかった。「ただしこれは研究者が見つけたキルスイッチが機能し始めてからのデータであり、それがなければもっと被害が広がった可能性もある」(久保氏)

 既にさまざまな記事で説明されている通り、WannaCryは、Microsoft Windowsの脆弱(ぜいじゃく)性(MS17-010)を悪用して感染を広める。ハッキンググループ Shadow Brokersが公表した攻撃ツール「EternalBlue」がMS17-010の脆弱性を悪用し、管理者権限であらゆる操作が可能なバックドア「DoublePulsar」を送り込み、それを経由してWannaCryがPCに保存される仕組みだ。

 「脆弱性を悪用してネットワーク経由で感染するため、Webサーバやメールサーバ、データベースサーバなど、ランサムウェアとしては想定外のところに感染し、想定されていなかった業務に影響が出た」(久保氏)。今なお、検索すると暗号化されてどうしようもなくなった状態のWebサーバを確認できる状況だという。

 ただ、表現に語弊はあるが、WannaCryに関しては幾つかの幸運もあったという。1つは「キルスイッチ」の存在だ。「感染拡大防止に大きな効果があった。ただしプロキシサーバ下では動作しないため、それが特定の組織で被害を大きくした理由の1つかもしれない」(久保氏)。2つ目は、MS17-010の脆弱性への対策が存在したことだ。脆弱性を修正するパッチは2017年3月14日に公開済みだった上、WannaCryの登場直後に、サポートが既に終了しているをWindows XP向けのパッチを提供する「異例の対応」をMicrosoftが講じた。最後に、「ランサムウェアという、ユーザーが認知できる攻撃だったこと」だという。「これに感染して気付かないユーザーはいない」(久保氏)

 今後、この脆弱性が標的型攻撃や情報窃取に使われる可能性は否定できない。その一方で、「パッチ公開から2カ月が経過したのに適用していなかった組織、対応が行き渡っていなかった組織にも、パッチ適用のきっかけになった」と、ケガの功名となった側面もあるとした。

●キルスイッチには、今なお「多くのアクセス」がある 基本的な対策の徹底を

 WannaCryについては2017年6月現在もさまざまな調査、解析が進んでいるが、久保氏によると「ワーム的な感染だけであれだけの被害が生じたのかには疑問が残る」という。一部の企業・組織だけで大規模な被害が生じた理由もいまだ不明だ。可能性としては、ネットワーク境界に設置されたサーバや持ち出しPC、リモートVPNなどが考えられるが、つまりは「境界防御が破綻していたと言わざるを得ない」と久保氏は述べている。

 「これは境界防御のパラドックスといえるかもしれない。境界防御はWannaCryの拡散防止に大きな効果があった。その一方で、組織内のネットワークは守られているという過信のため、パッチ公開から2カ月も経過したのに対策されていなかった組織もあり、いったんマルウェアが持ち込まれると統制不可能になる。これは、『ネットワークセキュリティだけで守られている』という神話の終焉(しゅうえん)を示すものかもしれない」(久保氏)

 ただし「神話は終わった」といっても、ネットワークセキュリティが不要という意味ではない。あくまで必須条件であり、「その上」で常に最新のパッチを適用していく体制が重要になるということだ。また同時に、境界防御がユーザー任せになっている部分がないかどうかを再確認し、ランサムウェアに備えたバックアップの取得も必須となり、さらに復旧手順の確認とテストも重要になるという。「サーバ系における想定外事象への対応を検討してほしい。ディスク障害からの復旧手順は用意している組織は多いだろうが、今回のような故意のデータ破壊に備えた手順も必要」と久保氏は提言した。

 最後に久保氏は「これで終わればいいが……実際のところ、WannaCryの活動はまだ続いている。キルスイッチには今なお、毎日、日本国内からだけでも1000ホスト以上からのアクセスがあり、毎日1000台が救われている。中には研究者による解析目的のアクセスが含まれている可能性はあるが、国内にはまだまだ被害につながる恐れのあるホストが多数存在している」と警告した。

 さらに「本来ならばインターネットに公開しなくていいはずのSMBで接続可能なホストも4万以上観測できる。境界型防御やアクセス制御がきちんとできていない組織が多いことを示している」という。DoublePulsarが接続可能なホストも200以上のIPで確認できるそうだ。

 実際、Interop Tokyo 2017の開場で公開されていたデモンストレーションネットワーク「ShowNet」を監視する「NIRVANA改」や「ProtectWise Grid」の画面でも、WannaCryとおぼしきランサムウェアの感染を警告するアラートが発せられる場面が何度も見られた。こうした感染ホストの中には、業務アプリケーションへの影響を考えてパッチを適用しないPCだけでなく、組み込み機器など、パッチを適用したくてもその方法が分からない機器が含まれている可能性も否定できないという。

 「攻撃されてしまったホストは潜在的にはまだある。パッチをきちんと適用してほしい」──。久保氏は、「WannaCryは終わりではない」と強調。他のランサムウェアやマルウェア対策としても、パッチ適用という基本の徹底を呼び掛けた。

最終更新:6/14(水) 7:55
@IT