米国土安全保障省のサイバーセキュティー部門であるCISAは、BlueKeep脆弱性を利用したハッキングの実験を行い、対象となるデバイスでリモートコード実行ができることを確認した。BlueKeepは旧版WindowsのRemote Desktop Protocol(RDP)のバグを利用した極めて危険な脆弱性だ。
現在、民間機関での研究ではBlueKeepを利用してDoS攻撃ができることが実証されている。つまり狙ったコンピュータをクラッシュさせてしまうわけだ。しかしBlueKeepはそれよりはるかに悪質なリモートコード実行に利用できることが確実だった。そうなれば2017年に世界を大混乱に陥れたWannaCryランサムウェアの再来となる。
CISA(Cybersecurity and Infrastructure Security Agency)は6月17日に発した警告で、BlueKeepを利用してWindows 2000を搭載したコンピュータ上のコードを遠隔で実行できることを確認した。
Windows 2000はMicrosoft(マイクロソフト)が発表した脆弱性対策には含まれていないが、CISAの広報担当者によれば「我々は外部の関係者と協力してこの脆弱性を調査している」ということだ。TechCrunchはマイクロソフトにコメントを求めている。
リモートコード実行が可能なマルウェアはまだ現実には使われていない。しかしCISAがアラートを出した以上、同じ効果をもつマルウェアをハッカーが近く作り出せることが確実だ。
マイクロソフトと米政府機関は先月末からBlueKeep脆弱性へのパッチ適用を強く勧告してきた。
BlueKeep(CVE-2019-0708)はWindows 7およびそれ以前のWindowsコンピュータのリモートデスクトップサービスのクリティカル評価のバグで、パソコンだけでなくサーバーにも影響する。ユーザー認証以前に実行可能なので攻撃者はログインの必要がない。攻撃が成功すればデータを盗み出すだけでなく、システム管理者の特権を得ることも可能だ。またワーム化できるので、1台が乗っ取られば同一のネットワークに接続しているすべてのコンピュータに伝染する。
Microsoftは先月末、サポート終了のOSに対してパッチを発行するという異例の措置を取った。しかし100万台ものコンピュータが無防備な状態におかれているという。英国のセキュリティ専門家であるKevin Beaumont氏のツイートによれば 「マルウェアがひとたび組織のファイアウォール内のパソコンに入り込むことに成功すれば被害規模は桁違いに拡大する」という。
NSAは秘密主義で知られるこの組織としては異例の警告を公表し、「脅威が著しく増大している」と述べ、ユーザーにパッチの適用を強く勧告していた。
万一パッチしていないなら今こそすべきだ。
【Japan編集部追記】CISAによれば、影響を受けるシステムは次のとおり。PC向けOSは、Windows 2000、Windows、Vista、Windows XP、Windows 7。サーバー向けOSは、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2。
[原文へ]