昨日(米国時間5/12)からの全世界的なランサム・ウェアの犯行は、いくつかの理由でおそろしいが、でもMalwareTechのセキュリティ研究者による素早い行動が、その拡散を少なくとも一時的に抑止したようだ。研究者自身はそのとき、それを知らなかった。
その詳しい話はここにあるが、要点はこうだ: すでにご存知かもしれないが、そのランサム・ウェアは、先月Shadow BrokersがNSAの記録から見つけたエクスプロイトを利用して拡散した。それは遠くまで迅速に拡散する能力を持ち、そのマルウェアもまさにそのように拡散した。しかしそのために、それを封じ込めて研究しようとするITの人びとの関心を招いた。
これに対する安全対策として、このウィルスのペイロード(payload, 動作コード)には、作者だけが知っているあるドメインが未登録かどうかを調べるコードが含まれていた。それはつまり、一部のネットワーク環境では、相手が悪質なコードを研究しているVMだったりすると、あるドメインに接続を試みるような外行きデータをすべて捕捉し、自分が勝手に選んだトラフィックを返したりするからだ〔一見、未登録でなくなる〕。
そのランサム・ウェアは、そんな環境で自分を起動したくないから、ある種の(適当な)未登録のドメインをpingする。たとえば、afn38sj729.comとか。そしてそれが、DNSエラー以外の何かを返したなら、そのトラフィックは操作されている可能性が高い。ランサム・ウェアは停止し、それ以上の分析をやめる。
ランサム・ウェアが未登録のドメインを呼び出していることを見つけたその研究者は、直ちにそれを登録してトラフィックをモニタできるようにした(そうやって上図のようなマップを作れた)。それにより拡散先を追跡できる、と思ったが、実はドメインを登録したことによって〔DNSエラーが返らなくなり〕攻撃そのものを殺してしまった。そのドメインをpingすると、既登録という結果が返ってくるので、ランサム・ウェアは自分を決して起動しない! 研究者はランサム・ウェアの生命維持装置を外してしまったのだが、自分ではそのことに気づかなかった。あとでそれと類似の動作をテスト中に、そのことが分かった。
偶然とはいえ、未登録ドメインを登録したことは、研究者の正しい行為だった。とにかくそれは結果的にサーバーをコントロールするコマンドであり、あるいはキルスイッチ(kill switch, 緊急停止スイッチ)だった。結果そのものには、異論がない。残念なのは、すでに被害に遭った人を救えないことだ。今後の展開は防げるけど。
