Windows 10の脆弱性修正パッチを緊急配布、月例アプデのSMBにバグ

Microsoft(マイクロソフト)がWindowsのセキュリティ脆弱性を修正するパッチを緊急リリースした。これは今週はじめにネット上に公開されてしまった脆弱性を修正するものだ。

問題のバグの深刻度は「critical」で緊急に対応が必要だ。バグは月例アップデート、いわゆる「アップデートの火曜日」に配布されたプログラムのSMB(Windowsのサーバーのメッセージを処理するブロック)に含まれていた。SMBはプリンターやファイルだけでなく、ローカル、さらにはインターネットに接続された他のデバイスとのコミュニケーション全般を処理する。

攻撃者がSMBのバグの利用に成功すれば、悪意あるコードをリモートで実行できる。サイバーセキュリティー企業のKryptos Logicで脅威情報収集および分析チームの責任者を務めるJamie Hankins(ジェイミー・ハンキンズ)氏は「インターネットに接続していれば遠隔実行に対する脆弱性を持つパッチ未適用のサーバーは4万8000台とされる。しかし実数ははるかに大きいだろう。つまり脆弱性があるサーバーに接続している他のデバイスも同様に脆弱性があることになるからだ」と述べた

このバグのニュースは2017年に世界のインターネットに急激に拡散したWannaCryのような「ワーム感染可能」な悪意あるプログロムが出現するかもしれないとテクノロジー・コミュニティーを恐怖させた。2日後、Microsoftは has SMB v3のバグを修正するパッチをリリースした。ターゲットはWindows 10、 Windows Server 2019のv1903とv1909だ。

Windows 10より前のバージョン、Windows 8やWindows 7(こちらはサポートが打ち切られセキュリティ・パッチの提供も終了している)などにこの脆弱性はない。月例アップデートに含まれていたバグがなぜ不適切な方法でネット上に公開されてしまったのか、詳しい事情は不明だ。セキュリティ専門企業、FortinetとCiscoはそれぞれブログ記事でこの脆弱性を公開した後、バグに関連する情報を削除している

パッチの配布は通常の方法による。Windows Updateから適用可能だ。

画像: Bloomberg (opens in a new window)/ Getty Images

原文へ

(翻訳:滑川海彦@Facebook

ランサムウェアWannaCryの猛威から2年、まだ100万台以上のコンピュータが危険な状態

ちょうど2年前の5月12日、強力なランサムウェアWannaCryが世界中に拡散し始めた。

それは山火事のように広がり、たった数時間で150以上の国々の、何十万台ものコンピュータを暗号化してしまった。これは、ユーザーのファイルを勝手に暗号化し、解除するために仮想通貨の身代金を要求するというマルウェア、つまりランサムウェアが組織的なサイバー攻撃として世界中に拡まった最初の例だった。

イギリスでは、このマルウェアのせいで、あちこちの病院がオフラインとなり、「重大事件」と宣言された。政府のシステム、鉄道網、民間企業も大きな被害を受けた。

セキュリティ研究者は、このマルウェアがWindowsのSMBプロトコルを利用し、コンピュータワームのように、ネットワークを介してコンピュータからコンピュータへと拡散していることをすぐに突き止めた。疑惑の目は、間もなくNSA(米国家安全保障局)によって開発された一連の極秘のハッキングツールに向けられた。というのも、それらのツールは、その数週間前に盗み出され、だれでもアクセスできる状態でネット上に公開されていたからだ。

「これはマジだ」と、イギリスを拠点とするセキュリティ研究者、Kevin Beaumont氏は、当時こう語っていた。「まったく、とんでもないことになってしまった」。

WannaCryは、NSAが開発し、その後盗まれたツール、DoublePulsarとEternalBlueを利用してWindows PCに侵入し、ネットワークを介して拡散する

未知のハッカーグループは、後に北朝鮮に雇われていたと信じられるようになったが、公開されてしまったNSAのサイバー兵器を使って攻撃を仕掛けた。おそらく、世界の隅々に、そこまで拡がるものとは思っていなかっただろう。ハッカーは、まずNSAのバックドアDoublePulsarを使って永続的なバックドアを作成し、さらにそれを使ってランサムウェアWannaCryを流布させた。また、EternalBlueツール利用して、ネットワーク上にあるパッチが未適用 のコンピュータに、片っぱしからランサムウェアをばらまいたのだ。

インターネットに接続されたシステムに、たった1つの脆弱性があるだけで、存分に荒らし回ることができた。

Microsoftは、Windowsをターゲットにしたハッキングツールが盗まれたことは認識していて、すぐにパッチをリリースした。しかし、一般のユーザーも、そして企業でも、システムにパッチを適用するまでに時間がかかっていた。

わずか数時間で、このランサムウェアは数十億ドル(数千億円)の損害をもたらした。WannaCryに関係するBitcoinのウォレットは、自分のファイルを取り戻そうとする被害者からの入金でいっぱいになっていった。たいてい、その出費は無駄になったのだが。

マルウェアをリバースエンジニアリングするセキュリティ研究者のMarcus Hutchins氏は、その攻撃が世界を襲ったとき、ちょうど休暇を取っていた。「私は、まったくクソのようなとんでもないタイミングで1週間仕事を離れていた」と、ツイートしている。彼はすぐに休暇を切り上げて、コンピューターと向かい合った。マルウェア追跡システムからのデータを使用して、彼はWannaCryのキルスイッチとして使える方法を発見した。コードに埋め込まれたドメイン名を登録したとたん、感染は急激に治まった。Hutchins氏は、先月、これとは無関係なコンピュータ犯罪の罪を認めた人物だが、WannaCryの攻撃の拡散を食い止めたヒーローだと称賛された。彼の功績を考慮して、完全な大統領恩赦というわけにはいかないとしても、寛大な措置を求めている人が多い。

情報サービスに対する信頼は一夜にして崩壊した。多くの議員は、NSAが引き起こした災害の後始末をどうつけるつもりなのか、説明を要求した。また、脆弱性を発見したときに政府機関として取るべき態度についての激しい議論を巻き起こした。それを秘匿したまま、監視やスパイ活動を実行するための攻撃的な武器として利用するのか、あるいは、その脆弱性を引き起こすバグをベンダーに報告して修正させるべきなのか、ということだ。

それから1ヵ月後、世界はサイバー攻撃の第2ラウンドに見舞われることになる。もはや、それが特別なことではなくなってしまうのではないかと感じさせるような出来事だった。

新たなランサムウェアNotPetyaは、同じDoublePulsarとEternalBlueを利用したものだった。後に研究者はキルスイッチを発見することができたのだが、輸送関連の大企業、スーパーマーケット、広告代理店などを攻撃し、混乱の渦に巻き込んだ。

それから2年が経ったが、漏洩したNSAのツールによってもたらされる脅威は依然として懸念すべき問題だ。

最新のデータによると、インターネットに接続された170万ものパソコンが、依然としてこの脆弱性を抱えている。無防備なデータベースやデバイスを検索するShodanによって生成されたデータは、100万台を超える数字を示している。中でも脆弱なデバイスが最も多かったのは米国だ。ただし、これはインターネットに直接接続されたデバイスしかカウントしてない。実際には、もしあちこちのサーバーが感染すれば、それらに接続された何百万台ものパソコンが危険にさらされる可能性がある。というわけで、脆弱なデバイスの数は、このデータが示すよりもかなり多いものと考えられる。

NSAの盗まれたハッキングツールに対して無防備なシステムは、米国内だけで40万以上もある。(画像クレジット:Shodan)

WannaCryは今でも拡がり続けていて、時々感染が報告されている。Beaumont氏は、米国時間5月12日のツイートで、WannaCryはほとんど無害化された状態になっていて、活動を開始してデータを暗号化する能力は持っていないという。ただし、その理由は謎のままだという。

しかし、公開されたまま野放しになっているNSAのツールは、脆弱なコンピュータに感染することが可能であり、今でもあらゆる種類のマルウェアを流布させるのに使われている。それによる被害者も後を絶たない。

アトランタ市がランサムウェアに攻撃された数週間前に、サイバーセキュリティの専門家Jake Williams氏は、同市のネットワークがNSAのツールに感染していることを発見していた。さらに最近では、仮想通貨のマイニングを実行するコードをネットワークに感染させるために、NSAのツールが流用された例もある。それによって、膨大な処理能力を持ったシステムにお金を生み出させようというわけだ。さらに、これらのツールを使って、何千台ものコンピュータを密かに罠にかけ、バンド幅を専有して分散型のサービス妨害攻撃を仕掛ける例もあった。圧倒的なインターネットトラフィックによって他のシステムに打撃を与えようというのだ。

WannaCryは確かにパニックを引き起こした。システムはダウンし、データは失われ、お金も費やされなければならなかった。それは、基本的なサイバーセキュリティについて、社会はもっとうまく対処する必要があることを気付かせる警鐘だったのだ。

しかし、今でも100万台以上の未パッチのデバイスが危険な状態のままになっているわけで、今後も悪用される可能性は十分にある。この2年の間に忘れてはならなかったのは、過去の失敗から学ぶためには、明らかにもっと多くのことができたはずだということだろう。

関連記事

画像クレジット:Getty Images

原文へ

(翻訳:Fumihiko Shibata)

月額2980円で士業に相談し放題の法人向けQ&Aサービス「Bizer」、登記用の書類も自動作成

Q&Aサービスと言えばオウケイウェイヴの「OKWave」から、スマートフォンに特化したLINEの「LINE Q」、nanapiの「Answer」などを思い浮かべるかも知らないが、企業を支援するQ&Aサービスも存在する。弁護士ドットコムの「弁護士ドットコム」もそうだし、walkntalkの「Visasq(ビザスク)」もそう、今回紹介するビズグラウンドの「Bizer(バイザー)」もそういったサービスの1つだ。

Bizerは、会社運営に関する手続きについて税理士や社労士、行政書士、司法書士といった士業の人々にオンラインで相談できるサービスだ。価格は月額2980円で、相談回数は無制限となっている。

サービスを開始したのは5月。現在はユーザーの8割が10人以下のスタートアップだそうだが、数十名規模の中小企業まで約100社がサービスを利用している。相談は基本的に24時間以内に回答するとしているが、現在1〜2時間程度で回答が来ることがほとんどだという。回答する士業の人数は30人程度。現在のリソースで1000社程度のユーザーまでカバーできるそうだ。ビズグラウンドで実際に自社の登記変更を依頼するなどしてテストをして、信頼できる人物のみを採用するという徹底ぶりだという。

Bizerはユーザーと士業の相談に加えて、士業への仕事の発注までをサポートする。Bizer上で金銭のやりとりは発生しないが、士業はユーザーから発注された金額の20%を利用料としてBizerに支払っている。「個別具体的な話が多い。また地域によっては業種を理解している士業の人にリーチするのが難しかったりもする。そういった課題を解決したい」(ビズグラウンド代表取締役の畠山友一氏)。

これを聞いてしっくりきたのだけれど、最近地方発のあるスタートアップが、起業の際にあった課題の1つとして「ITを理解している税理士が近所に居なかった」と話していたことがあった。Bizerでも、実際に地方のITスタートアップとITを理解している都内の税理士が仕事をするといった事例が出てきているそうだ。

そんなBizerが6月30日、役所提出書類の自動生成機能を公開した。この機能を利用すると、あらかじめBizerに登録しておいた情報をもとに、公証役場の委任状、法務局の登記申請書など、会社設立時や設立後に必要な16の書類を自動で作成できるようになる。

ただこれを聞いて疑問に思ったのだけれども、この機能、士業の仕事を奪うようなものではないのだろうか?畠山氏はその可能性を認めた上で、「書類作成はあくまで単純労働のようなもの。そういったものではなく、士業でないとできない付加価値のある仕事に集中できるようにしてほしい」と語る。2013年の株式会社の登記件数は約8万件とのことだが、Bizerでは今度その1割に当たる8000社の利用を目指すとしている。また、Bizerは登録された情報などをもとに、新たなサービスも提供していけそうだ。

なおビズグラウンドは、インキュベイトファンドの運営するファンド「インキュベイトファンド2号投資事業有限責任組合」から出資を受けている。金額は非公開だが、数千万円程度とみられる。