WannaCry:組み込みシステムを保護するには

2017年5月23日

暗号化型ランサムウェア「WannaCry」の大流行によって、さまざまな業種の組織がトラブルに見舞われました。とりわけ、組み込みシステムを含むインフラを採用している企業は、このマルウェアの作成者に対して不愉快な思いを抱いていることでしょう。

理論的には、ランサムウェア攻撃集団が組み込みシステムに目を付ける理由がありません。価値あるデータは保管されていない上にハードディスクが定期的に再フォーマットされるという実用一辺倒のシステムに対して身代金を支払う人がいるのかどうか、疑わしいところです。しかし、WannaCryは標的を選びません。特定の脆弱性の性質が悪用された結果、WannaCryがローカルネットワーク内で拡散し、パッチが適用されていない無防備なマシンに感染を拡げました。

晴天のへきれき

今回の事件を「意表を突く出来事」としてしまうと、公正を欠くことになるでしょう。組み込みシステムのセキュリティが十分でない問題は今に始まったことではなく、ワークステーションやサーバーに比べて組み込みシステムの保護が遅れていることは以前から知られていました。今回、WannaCryによってこの問題にスポットライトが当たったのでした。

組み込みシステムというと、ATMやPOSの端末を思い浮かべるかもしれません。実際、これらの端末はコンプライアンス規制のおかげで保護製品がインストールされていることが多く、脅威モデルにもよく登場するにもかかわらず、一部システムに感染が見られました。しかし、ことのほか目を引いたのは、情報パネルや医療機器、自動販売機などのシステムの感染の方でした。

(マンションのロビーにも脅迫メッセージが!)

組み込みシステムへの感染があった企業としては、犯罪者に身代金を払わなかったとしても、大きな被害を受けることとなりました。

  • 自動販売機、ATM、自動発券機が動かないということは、現金収入が不足するということです。
  • 公の場に掲示された画面に表示された脅迫メッセージは、「当社のセキュリティ対策は不十分です」と顧客に知らせているようなものです。このようなメッセージが企業の評判をどの程度傷つけるのか評価は難しいところですが、脅迫メッセージを目の当たりにした顧客は果たして戻ってくるでしょうか?
  • 感染した端末は、復旧しなければなりません。特に何百台もの端末を抱える場合には、地理的分布が広範囲にわたっていたり、人が出向いてOSの再インストールとセキュリティ設定の変更を緊急対応しなければならない状況であったりすると、復旧コストも跳ね上がります。また、古いOSが使われているデバイスの場合は、OSの再インストールに困難が伴い、そもそも再インストールが不可能である可能性もあります。

問題を解決するには

なぜ組み込みシステムは保護されていないのでしょうか。理由は2つあります。1つめは、組み込みシステムのセキュリティがこれまで見過ごされがちだったこと。2つめは、組み込みシステムは古いハードウェア上で稼働し、低帯域幅のインターネットチャネルと古いOSを使用していることが多いためです。組み込みシステムは、単純に、ハードウェア上でセキュリティ製品を実行させるのに適していないと見受けられます。

ある意味、WannaCryが1つめの問題点に注目を集めて世界を助ける結果となったことは認めざるを得ません。また、組み込みシステムの保護を従来のセキュリティ対策製品で行うのは有効な手段ではないかもしれないというのも真実です。Kaspersky Labが幅広い組み込みシステム向けに専用のソリューション「Kaspersky Embedded Systems Security」を開発したのは、まさにこの理由からです。本製品はデスクトップセキュリティ製品ほど多くのリソースを必要としませんが、デスクトップクラスのセキュリティ機能を数多く搭載し、感染を防止します。

暗号化型ランサムウェア(WannaCryを含む)による攻撃を受けた場合、この製品は以下のように対応します:

  • Default Deny(デフォルト拒否。ホワイトリストとも)モードは、Kaspersky Embedded Systems Securityの中核となる技術です。ホワイトリストに登録されていないスクリプトなどのコードの実行は、ブロックされます。したがって、たとえば暗号化型ランサムウェアが正規のソフトウェアパッケージに隠れてシステムに侵入できたとしても、コード自体を実行できません。
  • Process Memory Protection(プロセスメモリ保護)コンポーネントは、メモリ内のプロセスの整合性を分析し、既知および未知の脆弱性を悪用する試みをブロックします。
  • Kaspersky Embedded Systems Securityには、一元管理されたファイアウォールが搭載されており、脆弱性が発見されると、この脆弱性で使用されるポートをただちに無効化可能です。
  • 挿入されたUSBを制御する技術が、さらに防御を後押しします。信頼できないUSBデバイスによる感染を防ぐこの技術は、たとえばメンテナンス中に起こり得る問題に対処可能です。
  • アンチマルウェアモジュールは、オプションで利用可能です。このモジュールは、感染したファイルを含むシステムをクリーンアップします。

当社の記録によると、Kaspersky Embedded Systems Securityで保護されているデバイスのうち、WannaCryの影響を受けたデバイスはありません。この製品は現在、世界各地の何十万もの組み込みシステムに採用されており、別の見方をすれば、実環境での厳しいテストに合格したと言うこともできます。Kaspersky Embedded Systems Securityにご興味のある方は、こちらのページをご覧ください。