NSAから盗まれた大量のハッキングツールから開発されたETERNAL BLUE
こんにちは、マカフィー株式会社 セールスエンジニアリング本部 本部長 櫻井 秀光です。「WannaCry 、流出したNSA(米国家安全保障局)のハッキングツールへの警戒、そして今後の対策(前編)」( 2017年6月15日 更新)に引き続き、ここでもう1つ別のインシデントを紹介します。それは、今年の2月7日に報道されましたが、米国の国家安全保障局(NSA)から50TB の情報が盗まれた、というものです。盗まれた情報は、NSAのエリートハッカー集団であるTAO(Tailored Access Operations)が、専門知識を駆使して開発したハッキングツール類でした。
犯人はハロルド・マーティンという元TAOのメンバーであることが判明しており、現在はスパイ容疑にかけられていて、最大30年間の禁錮刑が科せられる可能性があると言われています。NSAが秘密裡に保有していたハッキングツールの75%が盗まれ、それらはオンライン上に流出しました。どのように流出したかについては、ハロルド・マーティン自身がデータを展開したか、彼のPCがハッキングされたのではないかという2つの説が考えられています。※
このインシデントがどうWannaCryに繋がるかというと、このときに盗まれたツールを使って開発されたのが、WannaCryの攻撃に使用されたETERNALBLUEなのです。今回、シャドーブローカーズという集団がこのツールを公開したと言われていますが、気を付けなければならないのは、盗まれた50TBのデータの中には、まだ我々が知らない脆弱性や新種のハッキングツールがあり、それらが今後、次々に悪用される可能性があるということです。
実際、日本への影響は少なかったようですが、5月17日にWannaCryと同じ手法で感染する「AdylKuzz(アディルカズ)」というマルウェアが確認されました。これは仮想通貨をマイニングする「CoinMiner」という種類のマルウェアの特定亜種で、CoinMiner自体は昔からあったマルウェアなのですが、今回発見されたAdyleKuzzは、ETERNALBLUEの機能が付加されていました。
今回のWannaCry感染後に要求される身代金の大半は300ドルで、最大で600ドルでした。Bitcoinでの支払いを要求しており、5月20日時点での調査では、被害金額は日本円で1千万円程度と推計されています。約50万台が感染してこの金額なので、攻撃者の実入りは少なかったと言えるでしょう。
今後の対策と留意点
今後の対策ですが、「まず、データのバックアップをしましょう」というのはもちろんなのですが、これだけでは抜本的な対策とはなりません。WannaCryから最も学ぶべきことは、「まず、パッチの適用が重要」ということです。今回のインシデントでは、マイクロソフト社もサポート対象ではないWindows XPなどのバージョンに対してもパッチを出しましたが、それだけの異常事態だったといえます。
ではどのような観点で対策製品を選んだらよいのでしょうか?マカフィーでは、Protect - 防御 、Detect - 検知 、Correct - 復旧 、Adapt - 適応という脅威対策ライフサイクルの仕組みを推奨しています。これは何かというと、なるべく多層的なエンジンを設けてマルウェアが感染する前に防御できるより高い壁を設置し、その壁をすり抜けてきたとしても、いかに迅速に検知・復旧し、そのプロセスで得られた知見を次に適用させていくか、というサイクルを組織に取り入れ、セキュリティ全般の効率化を図る考え方です。
強固なセキュリティ機能を持ったWebプロキシがあれば、メールを受信し、悪性のリンク先につなぎにいく時にブロックしたり、そのサイトからマルウェアがダウンロードされて来た時にブロックしたりすることができます。つまり、エンドポイントに到達する前にネットワークレイヤーでブロック可能である点がポイントです。なお、ランサムウェアの場合は、実行されると感染(暗号化)が始まってしまうので、リアルタイムで実行をブロックできる対策機能を備えているかもご確認ください。
次に、マルウェアが到達して被害を受けるのはエンドポイントなので、定義ファイルだけでなく多層的なエンジンをエンドポイントにおいても設け、なるべくマルウェアが実行されてしまう前に防御するための高い壁を設けてください。一方でマルウェア感染後の被害の拡大状況を観察することも重要ですので、感染後のインシデントレスポンス対応を行うツールの整備も必要です。
但し、WannaCryの場合は少々違っていて、感染を広げるのがネットワーク経由のエクスプロイト、いわゆる脆弱性に対する攻撃なので、侵入防止システム(IPS)でエクスプロイトをブロックできる機能を持っているかが重要です。IPSをすり抜けてきた場合は、上記で記載した通り、エンドポイント上に多層防御が可能なエンジンと、万が一感染した場合でも事後対応できるツールを導入することが重要です。
是非一度、現在導入している製品群が既知と未知、両方のマルウェアに対応できるエンジンを備えているかを確認してください。定義ファイルでは検出できない未知のマルウェアにも対応できるエンジンを皆様の環境にも導入いただき、防御の壁を高く備えていただくことを推奨します。
一方で、そこまでの対策をしても侵入するマルウェアは後を絶ちません。そこで事後の感染拡大状況を把握し、感染した端末を封じ込めて隔離をして修復するEDR(Endpoint Detection and Response)機能を備えた製品を導入し、ビジネスへの被害が深刻化する前に素早く立ち直れるようにレジリエンス(回復力)を高める取り組みを検討いただくとよいと思います。