全世界的なランサム・ウェアの攻撃を偶然の発見で停止できたようだ

昨日(米国時間5/12)からの全世界的なランサム・ウェアの犯行は、いくつかの理由でおそろしいが、でもMalwareTechのセキュリティ研究者による素早い行動が、その拡散を少なくとも一時的に抑止したようだ。研究者自身はそのとき、それを知らなかった。

その詳しい話はここにあるが、要点はこうだ: すでにご存知かもしれないが、そのランサム・ウェアは、先月Shadow BrokersがNSAの記録から見つけたエクスプロイトを利用して拡散した。それは遠くまで迅速に拡散する能力を持ち、そのマルウェアもまさにそのように拡散した。しかしそのために、それを封じ込めて研究しようとするITの人びとの関心を招いた。

これに対する安全対策として、このウィルスのペイロード(payload, 動作コード)には、作者だけが知っているあるドメインが未登録かどうかを調べるコードが含まれていた。それはつまり、一部のネットワーク環境では、相手が悪質なコードを研究しているVMだったりすると、あるドメインに接続を試みるような外行きデータをすべて捕捉し、自分が勝手に選んだトラフィックを返したりするからだ〔一見、未登録でなくなる〕。

そのランサム・ウェアは、そんな環境で自分を起動したくないから、ある種の(適当な)未登録のドメインをpingする。たとえば、afn38sj729.comとか。そしてそれが、DNSエラー以外の何かを返したなら、そのトラフィックは操作されている可能性が高い。ランサム・ウェアは停止し、それ以上の分析をやめる。

ランサム・ウェアが未登録のドメインを呼び出していることを見つけたその研究者は、直ちにそれを登録してトラフィックをモニタできるようにした(そうやって上図のようなマップを作れた)。それにより拡散先を追跡できる、と思ったが、実はドメインを登録したことによって〔DNSエラーが返らなくなり〕攻撃そのものを殺してしまった。そのドメインをpingすると、既登録という結果が返ってくるので、ランサム・ウェアは自分を決して起動しない! 研究者はランサム・ウェアの生命維持装置を外してしまったのだが、自分ではそのことに気づかなかった。あとでそれと類似の動作をテスト中に、そのことが分かった。

偶然とはいえ、未登録ドメインを登録したことは、研究者の正しい行為だった。とにかくそれは結果的にサーバーをコントロールするコマンドであり、あるいはキルスイッチ(kill switch, 緊急停止スイッチ)だった。結果そのものには、異論がない。残念なのは、すでに被害に遭った人を救えないことだ。今後の展開は防げるけど。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。