Cyber Threat Intelligence News

深刻化するサイバー空間における脅威への対抗手段として、国家の防衛のみならず民間においても必須のものとなったCyber Threat Intelligence(サイバー脅威インテリジェンス)を活用するために有益な情報を提供します。

The Shadow BrokersにリークされたNSAのハッキングツールがランサムウェアWannaCryptに流用

今年(2017年)4月、The Shadow Brokersと名乗るグループにより、NSAのハッキングツールがインターネット上に無償公開されました。

cyberthreatintelligence.hatenablog.com

この時リークされたハッキングツールの中に、NSAが標的をスパイしたり乗っ取りを行ったりするためのEternalblueと呼ばれるツールが含まれていました。このツールはマイクロソフトにより3月にパッチがリリースされていたMS17-010というバグを攻撃するものです。ハッキングツールがリークされた時点でパッチがリリースされていたにも関わらず、このツールの悪用により数千のコンピュータが乗っ取りの被害にあいました。

そして今度はこのツールがWannaCryptと呼ばれるランサムウェアの強化のために悪用されていることが、The Registerにより2017年5月13日(英国時間)の記事で報じられています。

www.theregister.co.uk

 MS17-010のパッチが適用されていないコンピュータや、Windows XPなどすでにサポート切れとなっているOSを利用しているコンピュータが、この強化されたWannaCrypt亜種の被害にあう可能性があるとのことです。このランサムウェアは何らかの手段により標的となったコンピュータ上で実行された後は、SMBを利用してネットワーク上の他のコンピュータに拡散します。感染したコンピュータ上のドキュメントを暗号化することで使用不能とし、復旧するための身代金として$300から$600をビットコインで要求します。

また、記事によると、このランサムウェアは感染したコンピュータにDoublepulsarというツールをインストールします。このツールもまたThe Shadow BrokersによりリークされたNSAのハッキングツールで、バックドアとして利用されます。

このランサムウェアによる被害については日本のテレビニュースでも「英、露を含む70カ国以上で大規模なサイバー攻撃」、「イギリスではロンドンなど各地の病院で一斉にシステムがダウンし、患者のデータにアクセスできなくなるなどの被害」などと報道されています。

www.news24.jp

なお、MALWAREINTにより公開されているWannaCrypt(Wcrypt)の感染マップによると、現時点(5月13日17時)ですでに日本にも感染が広がっていることが確認できます。

f:id:Bozaxosa:20170513171040p:plain

今後もThe Shadow Brokersにより公開されたNSAのハッキングツールを利用したサイバー攻撃は発生する可能性が高いと考えられます。そのため、関連する脆弱性へのパッチ適用などの対応は、優先度を上げて実施する必要があるといえます。

(5/14 9:30 追記)

サポート切れとなっているWindows XPWindows 8Windows Server 2003向けにも、本脆弱性に対応するためのパッチがマイクロソフトより公開された模様です。

ASCII.jp:WannaCry対策、MSがWindows XPやServer 2003にも異例のパッチ提供

(5/15 8:20 追記)

今回のランサムウェアWannaCrypt(WannaCry)にキルスイッチが仕込まれていることは複数のリサーチャーによって指摘されていましたが、Kevin Beaumont氏によればすでにこのキルスイッチが有効化されているとのことです。

このキルスイッチとは、ランサムウェアが感染後、特定のドメインの存在を確認し、これが確認できた場合には活動を停止するというものですが、すでにこのドメインが存在する状態となっているとのことです。

Kevin Beaumont氏は、このキルスイッチが米国が朝になる前に有効化されており、これが感染拡大が落ち着いた理由だとも述べています。

 (5/15 9:30 追記)

The ResisterにてMatt Suiche氏のブログが紹介されており、これによるとキルスイッチが含まれない亜種の存在が確認されているとのことです。

Microsoft to spooks: WannaCrypt was inevitable, quit hoarding • The Register

It should be noted that in his explanatory blog post, Suiche says the “no kill switch” version was recovered by Kaspersky as a Virus Total upload, but it's incomplete:

Although, this build does only work *partially* as the ransomware archive is corrupted — the spreading still works though.
Suiche also found and registered a new kill switch domain.