まるで映画のようなハッキングが現実になった、NSA製ツール EternalBlue。ランサムウエア「WannaCry」まとめ
日本マイクロソフト、WannaCry対策ガイダンス公開。Windows 10に影響なし、Defenderは最新定義で対応済マイクロソフト、WannaCry被害でNSA批判 「トマホークミサイルを盗まれたのと同じ」WannaCryランサムウェアから北朝鮮ハッカーのコード見つかる。断定は時期尚早も、背景には国家的な関与?マイクロソフト、サポート切れのWindows XP他に「異例のセキュリティパッチ」公開。世界的にランサムウェア被害拡大中映画やドラマの世界が現実に
NSAといえば、CIAやFBIと並びアメリカの映画やドラマでも定番の存在です。典型的なイメージは、キーボードをカタカタと叩くだけで標的のシステムにあっさり侵入するといったものではないでしょうか。
問題は、NSAがこのツールを作った時期が少なくとも2013年より前とみられる点です。つまりNSAは、これまで数年間に渡って誰にも気付かれないまま、世界中の多数のWindows PCに静かに侵入していた可能性があります。
そこから4年以上が経過したことで、現在のNSAはさらに強力なツールを保有しているのではないか、との疑念は高まります。マイクロソフトがNSAを名指しで非難したように、今後は政府機関に対する風当たりが強まるかもしれません。
NSA仕込みの攻撃ツールとは?
GitHubに公開されたツールには実行ファイルが含まれており、マルウェアとして検出される可能性が高いため、専用に隔離した検証環境以外では、興味本位にダウンロードしないほうがよいでしょう。
GitHubに公開されたNSA製とみられるツール群
その中身は、よくあるアングラツールとは趣を異にしています。アスキーアートによる装飾や「Decrypt0r」のようにアルファベットを置き換えるleet表現はみられません。その代わり、ソースコードには丁寧にコメントが付けられ、ファイルにはバージョン番号と見られる数字が付与されています。
まるで会議室のホワイトボードで設計され、昼間のオフィスで書かれ、自動テストを経て、ビルドツールによって出力されたような仕上がりです。
コーディング規則の存在が感じられるPythonスクリプト
代表的なツールの詳細は、EternalBlueについて @zerosum0x0、DoublePulsarについてはCounterceptのブログにおいて詳細に解析されています。
これらの解析から読み取れることは、標的へのアクセスや振る舞いにかなりの慎重さが感じられる点です。たとえばSMBの脆弱性を利用する「EternalBlue」は、ドライバが読み込まれたメモリ空間内の関数を置き換えるようにしてバックドアである「DoublePulsar」を送り込みます。
実際にEternalBlueでバックドアを仕込んだWindows 7 SP1。目に見える変化はまったくない
メモリ上にうまく忍び込んだDoublePulsarは、あたかもSMBの一部のように振る舞い、外部から送られてきたDLLコードをすでに存在する別のプロセスに注入します。目的を達成した後はメモリを消去して痕跡をほとんど残さないため、何の予備知識もなしに攻撃を検出することは、至難の業といってよいでしょう。
すでに脆弱性への対策となるセキュリティパッチは3月に提供されており、Windows Updateを正しく実行していれば新たな攻撃を受けることはありません。ただし、パッチの適用が4月以降に遅れた場合は攻撃を受けた可能性があります。例外的にWindows XPにもパッチは提供されましたが、これはWannaCryの被害が拡大を始めた後でした。
サポートが終了したデスクトップ版のWindows XPにもセキュリティパッチが提供された
我々一般人ができる対策としては、常にセキュリティパッチを最新化すること、データはローカルだけに置かずバックアップやクラウドの利用を心がけること、必要のないポートは閉じること、などの基本を徹底することが重要といえます。
