ESET/マルウェア情報局
サイバー攻撃をもたらす「エターナルブルー」エクスプロイトの脅威
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された1年の時を経てもなお、「エターナルブルー」エクスプロイトは「ワナクリプター」勃発時以上に活動中を再編集したものです
2017年5月、ランサムウェア「ワナクリプター」(WannaCryptor.D)(別名「ワナクライ」(WannaCry))は史上最大規模のサイバー混乱を引き起こした。それからすでに一年が経過したが、その脅威自体はもはや猛威を振るってはいないものの、その大流行を可能にした「エターナルブルー」(EternalBlue)として知られるエクスプロイトはパッチを当てておらず保護されていないシステムに対しては今なお脅威である。ESETの測定データによると、2018年上半期にもその流行は拡大傾向にあり、一時は、2017年以降の最大ピーク値を超えることもあった。
エターナルブルーは445番ポートを通じ、Microsoft社によるサーバーメッセージブロック(SMB)プロトコルの古い実装に存在する脆弱性(Microsoft Security Bulletin MS17-010にて報告済)を突く。攻撃に際しては、攻撃者は外部に公開されているSMBポートを探すためのスキャンをインターネット上にて実施する。そして、そのようなポートを発見できた際には、そのエクスプロイトコードを実行する。もしその対象が脆弱であれば、攻撃者は標的に対して任意のペイロード(パケット通信においてパケットに含まれるヘッダやトレーラなどの付加的情報を除いた、データ本体のこと)を走らせることができる。これが様々なネットワークを超えてワナクリプターが効果的に拡散した背後にあるメカニズムである。
興味深いことに、ESETの測定によると、エターナルブルーは2017年のワナクリプター攻撃の直後に活動が落ち着いた。出現後数カ月すると、エターナルブルーの利用は一日当たり数百程度にまで落ち込んだ。ところが2017年9月以降、その活動は徐々に再び盛んになり、2018年4月中旬にはピークを記録するに至った。
このピークについて可能性のある解釈として、「サタン」(Satan)と呼ばれるランサムウェア攻撃の存在が挙げられる。とはいえ、その他の不正活動と紐づけることも同様に可能である点にはご留意頂きたい。
ここで、ESETが保護するデバイスにはエターナルブルーが利用した侵入手法は成功しないことを強調したい。多層防御の一つであるESETの「Network Attack Protection」モジュールは、この脅威を入り口にてブロックする。深夜2時に静かにドアをノックし、誰かが起きているかどうかをチェックするケースに例えると、イメージがわくことだろう。そのような活動は悪意で実施されることがほとんどであるが、侵入者を締め出すためにその入り口を安全に封印しているのである。
これは2017年5月12日のワナクリプターの大流行時、および、不正者によるその前とその後に続く攻撃すべてにおいてもあてはまった。
エターナルブルーはほかにも注目を浴びるサイバー攻撃をもたらしてきた。ワナクリプター以外にも、2017年6月に破壊的な被害をもたらした「ディスクコーダー」(Diskcoder.C、別名「ペトヤ」(Petya)、「ナットペトヤ」(NotPetya))攻撃や、2017年4半期に行われた「バッドラビット」(BadRabbit)と呼ばれるランサムウェア攻撃が存在する。そのほか、「セドニット」(Sednit、別名「APT28」「ファンシーベア」(Fancy Bear))はサイバースパイ集団が欧州のホテルのWi-Fiネットワークを攻撃するのに利用された。
そのエクスプロイトは仮想通貨の不正マイナーの拡散メカニズムにも利用されていることが分かっている。より最近では、サタン攻撃を拡散するのに利用されており、そのことはESETが2018年4月中旬にエターナルブルーのピークを検知してからわずか数日後に報告されている。
エターナルブルーは、「シャドーブローカー」(Shadow Brokers)と呼ばれるグループにより、おそらく2016年に米国国家安全保障局(NSA)から盗み出され、2017年4月14日にリークされたものである。2017年3月14日にはMicrosoft社はSMBの脆弱性を修正するアップデートを公開しているが、本記事執筆時点に至っても、世の中にはパッチの充てられていない機器が多数存在している。
エターナルブルーとそれが可能にしたすべての攻撃は、タイムリーなパッチ適用が重要であることを示している。同時に、未知の不正ツールをブロックできる多層防御のセキュリティソリューションが必要であることも示している。
[引用・出典元]