Cyber Threat Intelligence News

深刻化するサイバー空間における脅威への対抗手段として、国家の防衛のみならず民間においても必須のものとなったCyber Threat Intelligence(サイバー脅威インテリジェンス)を活用するために有益な情報を提供します。

The Shadow Brokersが月額課金サービス"TheShadowBrokers Data Dump of the Month"をアナウンス

ランサムウェアWannaCry(WannaCrypt)による被害が世界規模の騒動となっていますが、ランサムウェア自体は以前より存在するものであり、日本においても複数の被害が発生していたことから注意が呼びかけられていたものです。そのような状況にも関わらず、今回、被害が拡大したのはなぜでしょうか。

報道などによると、被害者の「PCを起動した直後に感染した」、「何も操作をしていないのに感染した」などの声が聞かれるようです。これは、かつて流行したDOWNAD(Conficker)などのワームと呼ばれるマルウェアを思い起こさせます。ワームは、ユーザによるWebサイトへのアクセスやメール添付ファイルの実行などの操作を必要とせずに感染を拡大することができるため、脆弱性が存在するコンピュータがネットワークに接続されている場合には理論上、際限なく感染が広がります。

そのため、今回のWannaCryによる被害拡大は、ランサムウェアがワームの性質を併せ持ったことが一因であるといえます。そして、WannaCryがワームの性質を獲得することを可能にしたのが、The Shadow BrokersによるNSAのハッキングツールの漏洩でした。

WannaCryにワームの性質を与えたのはEternal Blueと呼ばれるSMBv1の脆弱性を利用したエクスプロイトですが、これはFuzzBunchというツールキットに含まれていたものです。The Shadow Brokersはこのツールキットを4月に無償公開しましたが、元々は有償による販売を試みていたものです。 

このThe Shadow Brokersによる1月8日時点のツイートには、ハッキングツールの価格表が掲載されています。これによると、FuzzBunch All(FuzzBunchツールキット全部)の価格は650.0BTCです(BTCはビットコインの単位)。ビットコインのレートはこの時点では1BTC=約11万円でしたので、650.0BTCは約7150万円でした(5月18日現在は1BTC=約20万円)。

一度はハッキングツールの販売に失敗したThe Shadow Brokersですが、5月16日のツイートによると、今度は"TheShadowBrokers Data Dump of the Month"と名付けられた"monthly subscription model"(月額課金モデル)による販売を試みているようです。

なお、この月額サービスでは以下の情報が提供されるとのことです。

  • web browser, router, handset exploits and tools
  • select items from newer Ops Disks, including newer exploits for Windows 10
  • compromised network data from more SWIFT providers and Central banks
  • compromised network data from Russian, Chinese, Iranian, or North Korean nukes and missile programs

4月にFuzzBunchが公開された際に、今回の事態を予測して関連するパッチの適用を行っておくことは難しかったかもしれませんが、もしそういった対応が行われていればWannaCryによる被害の拡大はありませんでした。今後、同じような事態を繰り返さないためには、このようなThreat Actor(脅威に関連する人物や組織)の動向に注意を払い続ける必要があるでしょう。