Cyber Threat Intelligence News

深刻化するサイバー空間における脅威への対抗手段として、国家の防衛のみならず民間においても必須のものとなったCyber Threat Intelligence(サイバー脅威インテリジェンス)を活用するために有益な情報を提供します。

Vault 7続編としてWikiLeaksにより公開されたPandemic V1.1についての情報

WikiLeaksは今年3月に、CIAから漏洩したとされる機密文書を公開し、それらはVault 7というコードネームで呼ばれる一連の文書の第一弾であると声明しました。

2日(米国時間)、WikiLeaksがこのVault 7の続編を公開しました。これは"Pandemic V1.1"と題されたPDF文書で、文書の日付は2015年1月16日付けとなっています。また、文書の作成者はCIAのEngineering Development Groupであることが示されています。

この9ページの文書は、以下の3つの章立てに分かれています。

  1. (U) Tool Summary
  2. (U) Release Notes
  3. (U) User's Guide

1. (U) Tool Summaryでは、Pandemicというハッキングツールについての概要が述べられています。Pandemicは、まずファイルシステム・フィルター・ドライバーとして標的のネットワーク内にあるコンピュータにインストールされます。そして、ネットワーク内の他のコンピュータがWindowsファイル共有でこのコンピュータからファイルの取得を試みた場合、本来のファイルの代わりに任意のファイルを渡すことができます。

2. (U) Release Notesでは、V1.1でなされたアップデートについて述べられています。

3. (U) User's Guideはこの文書でもっともボリュームのあるパートです。この中のChange Logからは、2014年4月17日に最初のバージョンが作成され、改良がなされたバージョンがPandemic V1.1として2015年1月16日にリリースされたことが読み取れます。*1

このパートでは、一般に販売されているソフトウェアと同様に、プログラムの設定方法やインストール・アンインストール方法、及び既知の問題などについて記述されています。

このPandemicによる攻撃は、先日The Shadow Brokersにより公開されたNSAのEXTERNALBLUEと同様にSMBを利用したものですが、EXTERNALBLUEと異なり、Pandemicは攻撃を成功させるために標的のコンピュータに脆弱性を必要としません。

EXTERNALBLUEを利用したWannaCryなどのマルウェアについては、マイクロソフトから提供されるパッチを適用することが感染への対策となりましたが、Pandemicのように、脆弱性ではなくSMB(ファイル共有)の機能そのものを利用した攻撃についてはそうではありません。

もし、何らかの手段により組織内の一つのコンピュータにPandemicをインストールされてしまった場合、そのコンピュータとファイル共有を行うコンピュータは、たとえ最新のパッチを適用していても攻撃を受け、被害が発生してしまう可能性があります。

そのため、組織はこの攻撃への対策として、SMBによるWindowsファイル共有以外のファイル共有方法の採用など、パッチ適用と比較しても多大なリソースが必要とされる可能性のある手段を検討する必要に迫られるかもしれません。

*1:文書ではV1.1がリリースされた日付が2014年1月16日となっていますが、これでは最初のバージョンより前の日付になるため、2015年の誤植と思われます。