テック系

ランサムウェア wannacrypt (wannacry) 発生までの経緯まとめ

投稿日:

 先週位から急にニュースでも取り上げられるようになった、ランサム(身代金要求)ウェア wannacrypt. 私も以前は中の人だったので、10年以上前ではあるが、夏休みの初日に新種のマルウェアが猛威を振るいはじめ、会社に呼び出されてそのまま計画していた旅行は中止。そして3日徹夜してぶっ倒れるという失態を演じてしまったこともあった。

 今、中の人たちは大変なんだろうな、と遠い目で想像しているが、ニュースサイトばかり見ているとなかなかその経緯などの知りたい情報が得られなかったので、下記にまとめてみた。

NSA (国家安全保障局) にも責任?

 先日、マイクロソフトは今回の一連の騒動についての声明の中でこう述べている。

最後に述べたい点として、この攻撃は政府機関における多数の脆弱性情報の蓄積が大きな問題であることをさらに示すことになったということがあります。これは、特に2017年から見られ始めたパターンです。CIA における脆弱性の利用が WikiLeaks で暴露されました。そして、今回の事件ではNSAからリークされた脆弱性情報が世界中のお客様に影響を与えています。政府機関が所有していた脆弱性情報がリークされ、広範な被害がもたらされるケースが繰り返されています。いわば、米軍のトマホークミサイルが盗まれたようなものです。

 これをそのまま解釈すると NSAのような政府機関が Windows に関する脆弱性(注:セキュリティホール。ソフトウェアの設計上のバグ(欠陥)をついて悪意を持った第三者がネットワークを通じて そのソフトウェアを思いのままに操作することが出来る。 )を誰にも報告せず、隠し持っていたことになる。その目的は、テロや重大事件の捜査活動の際に利用するためであることは明白だろう。

 以前、銃乱射事件の容疑者が所有していた  iPhone のアンロックを FBI が Appleに求め、Apple が拒否したことで裁判闘争となっていた事件があった。FBI や NSA といった捜査機関は、諜報活動のために必要であれば世界中のスマートフォン、タブレット、PCなどの中をいつでも覗けるようにしたいと思っているのだ。

 そして、NSAは Windows の脆弱性を見つけ出すと 自分たちでその脆弱性を利用したハッキングツールを作成し保管していたようだ。そしてそれがハッカー集団 Shadow Brokers により流出、公開されてしまった。そのツールが、今回の wannacrypt に用いられた、ということが今回のマイクロソフトの声明では述べられている。

既に修正済みのものだった?

 一方で、声明ではこうも述べている。

WannaCrypt が攻撃に悪用した脆弱性は、米国のNSA(National Security Agency:国家安全保障局)から漏洩した脆弱性情報に基づくものです。この漏洩事件については既に公表されていました。その1 カ月前の 3 月 14 日には、マイクロソフトはお客様をこの脆弱性の悪用から守るためのセキュリティ更新プログラムを公開していました。このため、このアップデートを適用するよう Windows Update を設定していた比較的新しい Windows システムは保護されましたが、世界中に未対策のままのコンピューターが多く存在しました。その結果、病院、企業、政府機関、そして、家庭のコンピューターが影響を受けました。

 今回の wannacrypt に利用された脆弱性は、NSAから漏洩した1ヶ月前の3月14日に Windows Update 経由で配布されるセキュリティ更新プログラムで対応済みであったとのことだ。

 漏洩した時点で既に修正されていた。ということは、マイクロソフトはNSAとは別に自力でこの脆弱性を見つけ、修正プログラムをリリースし、その1ヶ月後にNSAからこの修正済みの脆弱性がたまたま流出し、それを利用した wannacrypt が出てきたということなのか。あまりにもタイミングが合いすぎていないだろうか。

 更に一つ疑問が湧いてくる。で、あれば通常の脆弱性の発見と、セキュリティ更新となんら変わることはなく、とりたててNSAを非難する必要もないのではないかということだ。これまでも、マイクロソフトがセキュリティ上の問題を発見し、修正プログラムをリリースしてから、それを利用したハッカーがまだ修正プログラムが適用されていないPCを狙って、マルウェア(悪意のあるプログラム)を開発したことはあった。今回もその流れと変わらないのではないかということだ。

時系列で検証してみる

(1/8 - Shadow Brokers が NSA より 入手した Windows 用ハッキングツールを売り出し開始)

1/17  - USセキュリティ機関 US-CERT より SMB v1 に関する注意喚起

 今回利用された脆弱性は SMB v1 の脆弱性を利用したものだ。SMBとは主にイントラネット(LAN)上でファイル共有に利用されてきた古いプロトコルであり、暗号化なども行われておらず、インターネット上の利用には適していない。

 この SMB v1 の危険性は今年の初めに USのセキュリティ機関 US-CERT より 注意喚起がなされている。

 米国のセキュリティ組織、US-CERTは2017年1月16日、Windowsの通信プロトコル「Server Message Block」(SMB)に関する新しい脆弱性情報とその対策を公開した(写真1)。SMBバージョン1を使ったシステムに対して、リモートで攻撃を受けると機密情報が漏洩する可能性があるという。
http://itpro.nikkeibp.co.jp/atcl/news/17/011800139/?rt=nocnt

 この SMB v1 の脆弱性情報がどこからもたらされたのかは書かれていない。調べてみるとその2日前にこのような事件が報道されていた。

Shadow Brokersが活動停止宣言、Windowsハッキングツール58本を無料公開
http://www.itmedia.co.jp/enterprise/articles/1701/13/news054.html

 (この記事はまずタイトルから2点指摘せざるを得ないのだが、Shadow Brokers は地下に潜る(GOING DARK) と言っていて活動停止とはどこにも書いていない。また、ハッキングツール58本を無料公開というのもちょっとずれていて、Shadow Brokers のサイトの声明を見ると、Kaspersky というセキュリティソフトに検出された58のファイルをここに公開する、という言わば証拠のようなものである。なぜ証拠を公開するかというと、Shadow Brokers はハッキングツールを Bitcoin を使って売り出しているためであり、信憑性を高めることで販売促進につなげるためであろう。)

 話を元に戻すと、この記事の中で

Twitterアカウントからは、引き続きWindowsハッキングツールの販売を続けていることがうかがえる(画像へのリンク

とあるが、下の方に FuzzBunch というツールの中にSMBの脆弱性を突いたものが存在する。

 ここからは筆者の推測だが、この Twitter の 1月8日の投稿で売り出された FuzzBunch で始まる一部のツールが今回の wannacrypt に利用されたのではないだろうか。そしてそれは本来はNSAが発見し、開発していたものが、流出したものである。

 そして、US-CERT はその売り出されているツールの情報を何らかの形で取得し、急遽注意喚起がなされたのではないか。(ただこの時点ではまだ SMB v1 の機能自体をオフにする、という解決方法でしかなかった。)

3/14 - マイクロソフトより SMB v1 の脆弱性を修正したプログラムがリリースされる。
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx

 そしてそれから約2ヶ月後に SMB v1 の脆弱性を修正したプログラムがマイクロソフトからリリースされた。しかし、このリンク先の情報にもある通り、これまでにこの脆弱性は一般公開もされていなければ、悪用もされていないということだ。やはりマイクロソフトでも1月の時点で 、NSAから流出した SMB v1 の脆弱性を突いたツールを何らかの形で入手し、それに対処したものと推測される。

 この問題が修正された経緯については下記の可能性が考えられる。

 1.マイクロソフトが自力でこの問題を発見して修正した。
 2.NSAから流出したツールについて情報提供が合った。
 3.マイクロソフトが Shadow Blokers から 250 Bitcoin で買った。
 4.別の機関が入手して、ツールがマイクロソフト側に提供された。

 1は可能性として考えられなくは無いが、タイミングが少々合いすぎていて不自然だ。2については、NSAがマイクロソフトに後付けとは言え協力的であったならば、冒頭の声明のようにここまではっきりとNSAを非難はしないのではないか。個人的には3もしくは4の可能性が高いと私は推測する。

4/14 - Shadow Brokers が1月より売り出し中だったハッキングツールを無料公開。
http://jp.techcrunch.com/2017/04/17/20170414the-shadow-brokers-april-exploits-swift-windows/

 そしてついに、1月より売り出し中だったハッキングツール群が誰でも入手できる形で公開された。その中にもちろん今回 wannacrypt が利用した SMB v1 の脆弱性をついたものも含まれていた。

(同日) -  マイクロソフト、それらは 既に修正済みで Windows Update で配布済みであると発表
http://jp.techcrunch.com/2017/04/17/20170415microsoft-says-exploits-leaked-by-shadow-brokers-were-addressed-by-prior-patches/

そして即座に、マイクロソフトはそれらは全て修正済みであると発表した。このスピードも異例のものであるため、事前に情報を得ていたと思わざるを得ない。 そしてこれ以降は、既存の多くのメディアで報じられているとおりである。

5/12-13? - wannacrpyt の感染が世界各国で広がる

5/14 - マイクロソフトが発表した声明の中で NSA を非難。

 今回の wannacrypt は北朝鮮の関与も囁かれはじめたが、今後ますます、コンピューターのセキュリティは国家を巻き込んだ重要な問題となってくるだろう。また本日、Shadow Blokers は 新たなサブスクリプションモデル(有料会員)のビジネスを開始した。

NSAのツールを盗み出したハッカー集団、さらなる流出を予告--毎月有料で
https://japan.cnet.com/article/35101275/

 その中には Windows 10 の新たな脆弱性も含まれるという。そしてもしかするとこれは政府機関も把握しているかもしれない。そろそろ私達のPCはいつでも外から操作したり、覗かれることを前提に考えたほうが良いかもしれない。

 

-テック系

Copyright© 一身独立の記 , 2021 All Rights Reserved Powered by STINGER.