アメリカ国家安全保障局(NSA)が開発したとされるサイバー攻撃ツールを、2017年4月にハッカー組織「Shadow Brokers」が盗み出した主張し、それ以降数回にわたってツールが公開されてきました。セキュリティ研究者がその中の一部のツールを改良することで、Windows 2000以降のすべてのWindows OSを攻撃可能なハッキング攻撃が生み出されています。

NSA Exploits Ported to Work on All Windows Versions Released Since Windows 2000

https://www.bleepingcomputer.com/news/security/nsa-exploits-ported-to-work-on-all-windows-versions-released-since-windows-2000/

Shadow BrokersがNSAから盗み出したと主張するハッキングツールは、公開されると一部の悪意あるハッカーによって改良が加えられ新種のマルウェアが作成されて悪用されるという事態を招いています。2017年に大流行した身代金要求型のランサムウェア「WannaCry」はその代表格とみられています。

サイバー攻撃のトレンドは50万台以上のPCが感染したNSA製ツールを悪用したマルウェア - GIGAZINE



多くのサイバー犯罪者にとって最も人気になったのはEternalBlueと呼ばれるNSAツール。他方で一部のWindows OSにしか有効でなく最新のWindowsをサポートしないNSAツールはそれほど普及していませんでした。今回、これまで普及していなかったNSAツールをRiskSenseのセキュリティ研究者Sean Dillon氏は改良することで「EternalChampion」「EternalRomance」「EternalSynergy」と名付けられた3種類の新型サイバー攻撃ツールの開発に成功しました。

MS17-010 EternalSynergy / EternalRomance / EternalChampion aux+exploit modules by zerosum0x0 · Pull Request #9473 · rapid7/metasploit-framework · GitHub

https://github.com/rapid7/metasploit-framework/pull/9473

Dillon氏が利用したのは、「CVE-2017-0143」「CVE-2017-0146」の脆弱性です。Dillon氏によると、「シェルコードを実行する代わりに、SMB接続セッション構造を上書きして Admin/SYSTEMセッションを得る」という方法だとのこと。



新型サイバー攻撃ツールが攻撃可能なWindowsは、以下のとおり。32ビット・64ビットを問わず、Windows 2000以降のすべてのWindows OSに有効だとのこと。



「EternalChampion」「EternalRomance」「EternalSynergy」の有効性については、すでに複数のセキュリティ研究者によって検証され、攻撃の有効性が確認されています。





Dillon氏の作成した新型サイバー攻撃ツールは、過去にセキュリティ研究者のWorawit Wang氏の作成した「EternalSynergy」のポートを利用するなど、過去のNSAツールの改良版であり特別新しいものではないとのこと。Dillon氏は、「純粋な学術研究目的と効果的な防御手段の探求のために攻撃手法を公開したのであって、明示的な許可なく攻撃目的での使用は許されません」と述べており、Shadow Brokersによって公開されたNSAツールが、改良を加えられることでさらなるサイバー攻撃ツールが開発され得る危険性に警鐘を鳴らしています。