このページの本文へ

米エリートハッカー集団の情報が盗まれ、世界を混乱に陥れた!?

2017年06月30日 09時00分更新

文● せきゅラボ

  • この記事をはてなブックマークに追加
  • 本文印刷

 2017年の2月、米国の国家安全保障局(NSA)から、50TBもの情報が盗まれたという報道があった。

 盗まれた情報は、NSAのエリートハッカー集団であるTAO(Tailored Access Operations)が、専門知識を駆使して開発したハッキングツール類だった。NSAが保有していたハッキングツールの75%が盗まれたばかりか、オンライン上に流出までしてしまったという。

 これだけでは、自分と縁遠い話だと感じる人もいるだろう。しかし、この事件で流出したハッキングツールによって開発されたあるマルウェアによって、イギリスの医療センターの予約システムが機能しなくなり、ドイツの鉄道では駅の電光掲示板に障害が発生。欧米諸国のみならず、日本、そして世界中で被害が報告される事態となった。

 ここまで書けばピンと来たかもしれない。150ヵ国以上で35万件にもおよぶ感染被害をもたらしたランサムウェア「WannaCry」の猛威は、記憶に新しいところだろう。このWannaCryの攻撃に使用された「ETERNALBLUE」というツールこそ、NASが保有していたハッキングツールによって開発されたものだった。

 それだけでも恐ろしいことだが、もう一つ、忘れてはならない事実がある。盗まれた50TBのデータの中には、まだ我々が知らない脆弱性や新種のハッキングツールなどがあり、それらが今後も悪用される可能性があるということだ。

 たとえば、6月27日から「Petya」ランサムウェアの亜種の報告が増えている。元々は2016年3月頃に出現したランサムウェアだが、先述のETERNALBLUEに加えて、Windows端末のリモートからの管理に使用される管理共有と、WMIC (Windows Management Instrumentation Command-line) の仕組みを利用してマルウェアの実行を試みるように、感染機能が強化されているという(詳しくはこちらの記事を読んでほしい)。このようなケースもありえるのだ。

 未知の脅威に対して、我々には何ができるだろうか? データをこまめにバックアップして、セキュリティー対策ソフトをしっかりインストールしておくことは、もちろん肝心だろう。

 また、WannaCryが感染拡大に利用したのは、今年の3月15日にマイクロソフト社から報告されていた、既知の脆弱性だったことを忘れてはならない。つまり、最新のパッチを適用し、OSやソフトのアップデートをしておくことも重要だ。

 そして、最新のセキュリティー事情に関する知識を持っておくことも大事。今回はMcAfee Blogの「WannaCry、流出したNSA(米国家安全保障局)のハッキングツールへの警戒、そして今後の対策」を紹介しよう。

NSAから盗まれた大量のハッキングツールから開発されたETERNAL BLUE

 こんにちは、マカフィー株式会社 セールスエンジニアリング本部 本部長 櫻井 秀光です。「WannaCry 、流出したNSA(米国家安全保障局)のハッキングツールへの警戒、そして今後の対策(前編)」( 2017年6月15日 更新)に引き続き、ここでもう1つ別のインシデントを紹介します。それは、今年の2月7日に報道されましたが、米国の国家安全保障局(NSA)から50TBの情報が盗まれた、というものです。盗まれた情報は、NSAのエリートハッカー集団であるTAO(Tailored Access Operations)が、専門知識を駆使して開発したハッキングツール類でした。

 犯人はハロルド・マーティンという元TAOのメンバーであることが判明しており、現在はスパイ容疑にかけられていて、最大30年間の禁錮刑が科せられる可能性があると言われています。NSAが秘密裡に保有していたハッキングツールの75%が盗まれ、それらはオンライン上に流出しました。どのように流出したかについては、ハロルド・マーティン自身がデータを展開したか、彼のPCがハッキングされたのではないかという2つの説が考えられています。

 このインシデントがどうWannaCryに繋がるかというと、このときに盗まれたツールを使って開発されたのが、WannaCryの攻撃に使用されたETERNALBLUEなのです。今回、シャドーブローカーズという集団がこのツールを公開したと言われていますが、気を付けなければならないのは、盗まれた50TBのデータの中には、まだ我々が知らない脆弱性や新種のハッキングツールがあり、それらが今後、次々に悪用される可能性があるということです。

 実際、日本への影響は少なかったようですが、5月17日にWannaCryと同じ手法で感染する「AdylKuzz(アディルカズ)」というマルウェアが確認されました。これは仮想通貨をマイニングする「CoinMiner」という種類のマルウェアの特定亜種で、CoinMiner自体は昔からあったマルウェアなのですが、今回発見されたAdyleKuzzは、ETERNALBLUEの機能が付加されていました。

 今回のWannaCry感染後に要求される身代金の大半は300ドルで、最大で600ドルでした。Bitcoinでの支払いを要求しており、5月20日時点での調査では、被害金額は日本円で1千万円程度と推計されています。約50万台が感染してこの金額なので、攻撃者の実入りは少なかったと言えるでしょう。

今後の対策と留意点
 今後の対策ですが、「まず、データのバックアップをしましょう」というのはもちろんなのですが、これだけでは抜本的な対策とはなりません。WannaCryから最も学ぶべきことは、「まず、パッチの適用が重要」ということです。今回のインシデントでは、マイクロソフト社もサポート対象ではないWindows XPなどのバージョンに対してもパッチを出しましたが、それだけの異常事態だったといえます。

 ではどのような観点で対策製品を選んだらよいのでしょうか?マカフィーでは、Protect - 防御 、Detect - 検知 、Correct - 復旧 、Adapt - 適応という脅威対策ライフサイクルの仕組みを推奨しています。これは何かというと、なるべく多層的なエンジンを設けてマルウェアが感染する前に防御できるより高い壁を設置し、その壁をすり抜けてきたとしても、いかに迅速に検知・復旧し、そのプロセスで得られた知見を次に適用させていくか、というサイクルを組織に取り入れ、セキュリティ全般の効率化を図る考え方です。

 強固なセキュリティ機能を持ったWebプロキシがあれば、メールを受信し、悪性のリンク先につなぎにいく時にブロックしたり、そのサイトからマルウェアがダウンロードされて来た時にブロックしたりすることができます。つまり、エンドポイントに到達する前にネットワークレイヤーでブロック可能である点がポイントです。なお、ランサムウェアの場合は、実行されると感染(暗号化)が始まってしまうので、リアルタイムで実行をブロックできる対策機能を備えているかもご確認ください。

 次に、マルウェアが到達して被害を受けるのはエンドポイントなので、定義ファイルだけでなく多層的なエンジンをエンドポイントにおいても設け、なるべくマルウェアが実行されてしまう前に防御するための高い壁を設けてください。一方でマルウェア感染後の被害の拡大状況を観察することも重要ですので、感染後のインシデントレスポンス対応を行うツールの整備も必要です。

 但し、WannaCryの場合は少々違っていて、感染を広げるのがネットワーク経由のエクスプロイト、いわゆる脆弱性に対する攻撃なので、侵入防止システム(IPS)でエクスプロイトをブロックできる機能を持っているかが重要です。IPSをすり抜けてきた場合は、上記で記載した通り、エンドポイント上に多層防御が可能なエンジンと、万が一感染した場合でも事後対応できるツールを導入することが重要です。

 是非一度、現在導入している製品群が既知と未知、両方のマルウェアに対応できるエンジンを備えているかを確認してください。定義ファイルでは検出できない未知のマルウェアにも対応できるエンジンを皆様の環境にも導入いただき、防御の壁を高く備えていただくことを推奨します。

 一方で、そこまでの対策をしても侵入するマルウェアは後を絶ちません。そこで事後の感染拡大状況を把握し、感染した端末を封じ込めて隔離をして修復するEDR(Endpoint Detection and Response)機能を備えた製品を導入し、ビジネスへの被害が深刻化する前に素早く立ち直れるようにレジリエンス(回復力)を高める取り組みを検討いただくとよいと思います。

カテゴリートップへ