ちょうど2年前の5月12日、強力なランサムウェアWannaCryが世界中に拡散し始めた。
それは山火事のように広がり、たった数時間で150以上の国々の、何十万台ものコンピュータを暗号化してしまった。これは、ユーザーのファイルを勝手に暗号化し、解除するために仮想通貨の身代金を要求するというマルウェア、つまりランサムウェアが組織的なサイバー攻撃として世界中に拡まった最初の例だった。
イギリスでは、このマルウェアのせいで、あちこちの病院がオフラインとなり、「重大事件」と宣言された。政府のシステム、鉄道網、民間企業も大きな被害を受けた。
セキュリティ研究者は、このマルウェアがWindowsのSMBプロトコルを利用し、コンピュータワームのように、ネットワークを介してコンピュータからコンピュータへと拡散していることをすぐに突き止めた。疑惑の目は、間もなくNSA(米国家安全保障局)によって開発された一連の極秘のハッキングツールに向けられた。というのも、それらのツールは、その数週間前に盗み出され、だれでもアクセスできる状態でネット上に公開されていたからだ。
「これはマジだ」と、イギリスを拠点とするセキュリティ研究者、Kevin Beaumont氏は、当時こう語っていた。「まったく、とんでもないことになってしまった」。
WannaCryは、NSAが開発し、その後盗まれたツール、DoublePulsarとEternalBlueを利用してWindows PCに侵入し、ネットワークを介して拡散する
未知のハッカーグループは、後に北朝鮮に雇われていたと信じられるようになったが、公開されてしまったNSAのサイバー兵器を使って攻撃を仕掛けた。おそらく、世界の隅々に、そこまで拡がるものとは思っていなかっただろう。ハッカーは、まずNSAのバックドアDoublePulsarを使って永続的なバックドアを作成し、さらにそれを使ってランサムウェアWannaCryを流布させた。また、EternalBlueツール利用して、ネットワーク上にあるパッチが未適用 のコンピュータに、片っぱしからランサムウェアをばらまいたのだ。
インターネットに接続されたシステムに、たった1つの脆弱性があるだけで、存分に荒らし回ることができた。
Microsoftは、Windowsをターゲットにしたハッキングツールが盗まれたことは認識していて、すぐにパッチをリリースした。しかし、一般のユーザーも、そして企業でも、システムにパッチを適用するまでに時間がかかっていた。
わずか数時間で、このランサムウェアは数十億ドル(数千億円)の損害をもたらした。WannaCryに関係するBitcoinのウォレットは、自分のファイルを取り戻そうとする被害者からの入金でいっぱいになっていった。たいてい、その出費は無駄になったのだが。
マルウェアをリバースエンジニアリングするセキュリティ研究者のMarcus Hutchins氏は、その攻撃が世界を襲ったとき、ちょうど休暇を取っていた。「私は、まったくクソのようなとんでもないタイミングで1週間仕事を離れていた」と、ツイートしている。彼はすぐに休暇を切り上げて、コンピューターと向かい合った。マルウェア追跡システムからのデータを使用して、彼はWannaCryのキルスイッチとして使える方法を発見した。コードに埋め込まれたドメイン名を登録したとたん、感染は急激に治まった。Hutchins氏は、先月、これとは無関係なコンピュータ犯罪の罪を認めた人物だが、WannaCryの攻撃の拡散を食い止めたヒーローだと称賛された。彼の功績を考慮して、完全な大統領恩赦というわけにはいかないとしても、寛大な措置を求めている人が多い。
情報サービスに対する信頼は一夜にして崩壊した。多くの議員は、NSAが引き起こした災害の後始末をどうつけるつもりなのか、説明を要求した。また、脆弱性を発見したときに政府機関として取るべき態度についての激しい議論を巻き起こした。それを秘匿したまま、監視やスパイ活動を実行するための攻撃的な武器として利用するのか、あるいは、その脆弱性を引き起こすバグをベンダーに報告して修正させるべきなのか、ということだ。
それから1ヵ月後、世界はサイバー攻撃の第2ラウンドに見舞われることになる。もはや、それが特別なことではなくなってしまうのではないかと感じさせるような出来事だった。
新たなランサムウェアNotPetyaは、同じDoublePulsarとEternalBlueを利用したものだった。後に研究者はキルスイッチを発見することができたのだが、輸送関連の大企業、スーパーマーケット、広告代理店などを攻撃し、混乱の渦に巻き込んだ。
それから2年が経ったが、漏洩したNSAのツールによってもたらされる脅威は依然として懸念すべき問題だ。
最新のデータによると、インターネットに接続された170万ものパソコンが、依然としてこの脆弱性を抱えている。無防備なデータベースやデバイスを検索するShodanによって生成されたデータは、100万台を超える数字を示している。中でも脆弱なデバイスが最も多かったのは米国だ。ただし、これはインターネットに直接接続されたデバイスしかカウントしてない。実際には、もしあちこちのサーバーが感染すれば、それらに接続された何百万台ものパソコンが危険にさらされる可能性がある。というわけで、脆弱なデバイスの数は、このデータが示すよりもかなり多いものと考えられる。
NSAの盗まれたハッキングツールに対して無防備なシステムは、米国内だけで40万以上もある。(画像クレジット:Shodan)
WannaCryは今でも拡がり続けていて、時々感染が報告されている。Beaumont氏は、米国時間5月12日のツイートで、WannaCryはほとんど無害化された状態になっていて、活動を開始してデータを暗号化する能力は持っていないという。ただし、その理由は謎のままだという。
しかし、公開されたまま野放しになっているNSAのツールは、脆弱なコンピュータに感染することが可能であり、今でもあらゆる種類のマルウェアを流布させるのに使われている。それによる被害者も後を絶たない。
アトランタ市がランサムウェアに攻撃された数週間前に、サイバーセキュリティの専門家Jake Williams氏は、同市のネットワークがNSAのツールに感染していることを発見していた。さらに最近では、仮想通貨のマイニングを実行するコードをネットワークに感染させるために、NSAのツールが流用された例もある。それによって、膨大な処理能力を持ったシステムにお金を生み出させようというわけだ。さらに、これらのツールを使って、何千台ものコンピュータを密かに罠にかけ、バンド幅を専有して分散型のサービス妨害攻撃を仕掛ける例もあった。圧倒的なインターネットトラフィックによって他のシステムに打撃を与えようというのだ。
WannaCryは確かにパニックを引き起こした。システムはダウンし、データは失われ、お金も費やされなければならなかった。それは、基本的なサイバーセキュリティについて、社会はもっとうまく対処する必要があることを気付かせる警鐘だったのだ。
しかし、今でも100万台以上の未パッチのデバイスが危険な状態のままになっているわけで、今後も悪用される可能性は十分にある。この2年の間に忘れてはならなかったのは、過去の失敗から学ぶためには、明らかにもっと多くのことができたはずだということだろう。
関連記事
- Ransomware based on leaked NSA tools spreads to dozens of countries
- US government says North Korea was behind massive WannaCry cyber attack
- US Treasury sanctions North Korea over Sony hack and WannaCry attack
- Malware researcher Marcus Hutchins pleads guilty, ending his legal case
(日本語版:マルウェア研究家マーカス・ハチンズが有罪を認めた) - Cryptojacking attacks using leaked NSA exploits still highly active a year later
画像クレジット:Getty Images
[原文へ]
(翻訳:Fumihiko Shibata)
