ESET/マルウェア情報局

新たな「WannaCryptor」になるかもしれない脆弱性「BlueKeep」とは?

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「緊急修正パッチも配布された脆弱性、「BlueKeep」がもたらす脅威とは? 」を再編集したものです。

 2017年5月12日、世界中の企業や組織をパニックに陥れた、WannaCryptor。コンピューターが次々と感染していき、画面に身代金要求文が表示されたことはいまだ記憶に残っている人も少なくないだろう。古いWindowsシステムでアップデートが未対応なものは迅速な対応を講じねばならない。早急なセキュリティ対策を怠れば、また近い将来同様の事態に遭遇する恐れがあるからだ。

 今回発見された、BlueKeepと呼ばれる脆弱性は、ワームのようなふるまいをすることも可能であり、極めて危険な存在といえる。このBlueKeepは、リモートデスクトップサービスに存在する、リモートコード実行 (RCE) における重大な脆弱性を悪用し、マルウェアを拡散させる可能性を有している。5月14日以降、マイクロソフト社はサポート対象(一部、サポート対象外も含む)のOS向けにこの脆弱性を修正するパッチの配布を開始した。

 BlueKeepは、リモートデスクトップサービス(旧称、ターミナルサービス)内で発見された。もし悪用されると、認証情報やユーザーとのやり取りなしに、バックドア経由で標的のコンピューターにアクセスできてしまう。

 さらに厄介となるのは、この脆弱性が「ワームの侵入を招く」ということだ。つまり、今後発生するエクスプロイトがこの脆弱性を悪用し、WannaCryptorと同様にネットワークの内外でマルウェアを拡散させる懸念がある。

 マイクロソフト社が今回、最新のパッチをリリースした後、セキュリティ研究員は実用的なPoCをいくつか作成している。しかし、本稿執筆時点で、いずれも公開されておらず、このバグが実際にユーザー環境で悪用されているのかどうかは不明なところである。

 CVE-2019-0708としてリストアップされたこのバグは、マイクロソフト社が現在サポート対象としているOSだけでなく、サポートが終了した複数のOSにも影響を及ぼしている。自動アップデート機能が搭載されたWindows 7、Windows Server 2008 R2、Windows Server 2008であれば、おそらくセキュリティ対策は万全だと思われる。マイクロソフト社はサポート対象外の2つのバージョン (つまり、Windows XPとWindows Server 2003) 向けに特別なアップデートもリリースしている (このリンクをクリック)。Windows 8とWindows 10は、この脆弱性の影響を受けていない。

 Windows Vistaも同様に、この脆弱性の影響を受けているものの、マイクロソフト社はまだパッチのリリースには至っていない。唯一の解決策は、リモートデスクトッププロトコル (RDP) を完全に無効にするか、VPN経由でアクセスしてきた場合のみRDPの使用を許可する方法のみに限られてしまっている。

 正しく構成されていないRDPをインターネットで使用している企業は、注意が必要だ。ユーザーやリソースが危険にさらされる恐れがある。攻撃者はBlueKeepなどの脆弱性を悪用するだけでなく、総当たり攻撃を仕掛け、企業のコンピューターや内部システムへの侵入を試みようとしている。

 BlueKeepの事例は、ワームの侵入を許してしまう脆弱性がサーバーメッセージブロック (SMB) プロトコルに見つかった2年前に大流行した攻撃と近しいと思われる。2017年5月14日、マイクロソフト社はその脆弱性に対する修正パッチをリリースし、Windowsコンピューターにすぐにパッチを適用するようユーザー全員に勧めている。

 この時は、EternalBlueと呼ばれるエクスプロイトが被害をもたらした。SMBの脆弱性を標的にしたこの悪意のあるツールは、米国国家安全保障局 (NSA) で設計され、同局から盗まれたとされている。1カ月後、EternalBlueはオンライン経由で流出し、数週間後にはサイバー攻撃であるWannaCry(ptor) とNotPetya (Diskcoder.C) の手段として、ここ数年で最大の被害をもたらすことになった。

 ワームの侵入を許してしまうBlueKeepの特性を考慮すると、同様の事態が起きる可能性は払拭できない。誰かが実際に動作するエクスプロイトを公開したり、マルウェア作成者がそれを闇市場で販売したり、となるのももはや時間の問題でしかないのかもしれない。仮にそうした事態が起きれば、スキルレベルが低いサイバー犯罪者への拡散を招き、その売買などが犯罪者の資金源となると見られている。

 また、世界中の企業や組織は2017年の大流行から得た教訓を踏まえ、セキュリティ意識の向上に努める義務がある。定期的にパッチを適用しているかという点が今後、BlueKeepの活動、被害状況などを通じて明らかになっていくだろう。

 ユーザーおよび企業や組織には以下の対策を推奨する。

  • 今すぐ、パッチを適用する:ユーザーおよび企業や組織がサポート対象のWindowsを使用しているのであれば、最新版にアップデートすること。合わせて、自動アップデートの有効化もおこなっておきたい。理由はともあれ、サポート対象外のWindows XPやWindows Server 2003をまだ使用しているのであれば、できるだけ早くパッチをダウンロードし、適用すること。
  • リモートデスクトッププロトコルを無効にする:RDP自体が脆弱という訳ではないものの、マイクロソフト社は企業や組織に対して、最新のパッチを適用するまでの間、RDPを無効にするよう推奨している。さらに、少しでも被害を抑制するために、本当に必要な場合に限り、実際に使用するデバイスのみでRDPを有効にすること。
  • RDPを正しく構成する:企業や組織がどうしてもRDPを使用しなければならない場合、RDPをインターネット上でオープンにしないこと。リモートセッションを確立できるのは、LAN上のデバイスや、VPN経由でアクセスするデバイスに限定すること。別の方法として、ファイアウォールでRDPへのアクセスをフィルタリングし、特定のIPアドレスのみをホワイトリストとして登録すること。加えて多要素認証を用いると、リモートセッションのセキュリティをさらに高めることが可能だ。
  • ネットワークレベル認証 (NLA) を有効にする:NLAを有効にすると、BlueKeepの影響をいくらか抑えることができるだろう。リモートセッションを確立して、バグを悪用しようとしても、認証が必要となるからだ。しかし、「攻撃者は感染したシステムの有効な認証情報を手に入れ、認証に成功したら、リモートコード実行 (RCE) の脆弱性を悪用する恐れがある」と、マイクロソフト社は見解を示している。
  • 多層防御が可能な信頼できるセキュリティ製品を使用する:ネットワークレベルでバグを悪用する攻撃を検出し、被害を抑えることが可能。

[引用・出典元]
Patch now! Why the BlueKeep vulnerability is a big deal by Ondrej Kubovič 22 May 2019 - 07:41PM
https://www.welivesecurity.com/2019/05/22/patch-now-bluekeep-vulnerability/