クリプトワームWannaCry(ワナクライ)の流行が始まったのは、2017年5月12日。WannaCryに感染し、仕事が妨害された被害者のパソコン画面に表示されたのは、次のようなメッセージでした。
このメッセージが表示されたあと、多くの被害者は、自分が所有するすべての文書が暗号化されたことに気がつきました。感染した端末上の.docや.mp3のような拡張子を持つファイルは、.wnryという拡張子に改ざんされていました。被害者がメッセージを読まずにメッセージを閉じれば、マルウェアはデスクトップの壁紙を変更し、以下のようなメッセージを表示する仕組みでした。
そしてこのランサムウェアは、ファイルを復号化するためには、攻撃者のウォレットにビットコインで300米ドル送金するようにと要求しました。時間がたてば、その金額は600米ドルに跳ね上がります。WannaCryは、発生から1日も経たないうちに急速に拡散し、被害は世界で20万件を超えました。主に、家庭用パソコンや企業ネットワーク(病院、輸送会社、銀行サービス、携帯キャリアなど)が被害にあいました。台湾のチップ製造会社のTSMCは、企業用デバイスの大量感染により、製造を一時停止せざるを得ない状況に陥りました。
大規模なランサムウェア攻撃のはじまり
WannaCryが急速に広まったのは、世界中の人が多く使うWindowsのServer Message Block(SMB)プロトコルに脆弱性があったからです。このプロトコルは、ローカルネットワーク上でのファイルの交換を行うものです。Server Message Block(SMB)のセキュリティパッチがインストールされていないパソコンに、細工したパケットを送ることで拡散しました。このSMBv1は、1990年代初期から使用されている古いSMBのバージョンです。2006年以降Windowsでデフォルトとして使用されているのは、SMBv2か、または最新のものになっています。古いプロトコルのサポートが続けられてきた理由は、レガシーソフトウェアを実行するパソコンとの互換性を保つためでした。
2017年3月に問題が発覚し、 更新プログラムがリリース された時(WannaCryが発生する約2か月前)、SMBv1の脆弱性は、Vistaから当時最新のOSであったWindows 10にいたるまで、アップデートされていないすべてのOSのバージョンが危険にさらされました。旧式のWindows XPやWindows 8も含めてです。Windows XPに関しては、2014年の時点にサポートを中止していたにもかかわらず、Microsoftはパッチをリリースしました。このSMBv1の脆弱性を標的とした攻撃は、一般的にコードネーム「EternalBlue」と呼ばれています。 これについては別の機会に詳しく解説します。
まず、コードネーム DoublePulsar (英語ページ)についてお話ししましょう。これは、攻撃されたシステム内でバックドアを作成するときに使われる悪意のあるコードです。EternalBlueエクスプロイトとDoublePulsarバックドアについては、シャドー・ブローカーズという匿名のグループが、2017年3月および4月に 公開しました (英語ページ)。これらは、その他の悪意のあるツールとともに、アメリカの安全保障局(NSA)のある部署から盗まれたものです。WannaCryは、両方のコンポーネントを使用しています。このワームはまずEternalBlueエクスプロイトを介して悪意のあるコードを実行する機能を取得し、カスタマイズされたDoublePulsarツールを使って、ファイルを暗号化して身代金を要求するメッセージを表示させるためのペイロードを起動させます。
WannaCryは、匿名のTorネットワークを介して攻撃者のC2サーバーと通信し、悪意のある要求を無作為に生成したIPアドレスに送信することで拡散されました。これにより、1時間あたり何万ものシステムを感染させるという驚くべき速さで被害が拡大しました。
キルスイッチ
5月12日、当時はまだ著名ではなかったサイバーセキュリティ関係のブロガー、MalwareTechが、WannaCryコードを調べました。そして彼は、コードにあったものが.comという形式のアドレスだったことを発見しました。そのドメイン名は登録されていなかったため、MalwareTechは自分のものとして登録しました。なぜなら、感染したパソコンが、C2サーバーと通信するために、このアドレスを使用するだろうと考えたからです。しかし、彼のこの行動は結果的に、WannaCryの大流行を食い止めることになりました。
ドメインを登録したあと、5月12日の夕方までに、感染拡大が止まったことは 明らかでした(英語記事)。しかし、パソコン上でデータを暗号化しなくなったものの、WannaCryの感染は続いていました。実際マルウェアが行っていたのは、ドメイン名にアクセスし、それが存在しない場合は、ファイルを暗号化することでした。ドメインが利用でいるようになったため、すべてのマルウェアが機能しなくなったのです。なぜ、攻撃者はランサムウェアをこんなにも簡単に止められるように仕組んだのでしょうか。MalwareTechによりますと、攻撃はそれほど巧妙なものではなく、自動サンドボックス分析を騙すことができなかったとみられています。
サンドボックスは、悪意のあるプログラムが隔離された仮想環境で実行され、そのふるまいをリアルタイム分析することを可能にします。これは、ウイルスアナリストがマニュアル操作、または自動操作する際に用いられる一般的な方法です。仮想環境は、マルウェアを確実に実行させ、研究者がその秘密情報を調査することができるよう設計されています。マルウェアがファイルを要求する場合、サンドボックスはファイルが存在すると見せかけます。また、マルウェアがウェブサイトにアクセスした場合、仮想環境でそれに対応します。おそらくWannaCryを作成した人物は、自分たちならサンドボックス分析でも見つからないと考えたのでしょう。存在が知られていないドメインにワームがアクセスし応答があれば、被害者は実在しないということになり、悪意のある攻撃は隠さないといけません。
たった3時間のうちにワームのコードが解読され、その「秘密」のドメイン名が見つかって登録されるということを彼らは想定していなかったとみられています。
MalwareTech:「インターネットを救ったハッカー」
MalwareTechには、正体を隠さなくてはならない理由がありました。彼の本名はマーカス・ハッチンズです。WannaCryによる攻撃が発生した時、彼は23歳でした。彼は高校生の時、悪い仲間と付き合いはじめ、「小さなサイバー犯罪」をするグループのフォーラムに出入りしていました。ブラウザーのパスワードを盗むためのプログラムを書いたり、また、Torrentsを介してユーザーを感染させる別のプログラムも作成していました。そのプログラムを使って8,000の強力なボットネットを構築していたといいます。
2020年代初め、彼はより大きな罪を犯している人物と出会い、Kronosマルウェアの一部を書くよう依頼されました。彼は自分の行った仕事の見返りとして、グレーマーケットでそのマルウェアが販売されるたびに、報酬を受け取っていました。購入したサイバー犯罪者は、独自の攻撃を実行していました。ハッチンズは、これまでに少なくとも2回、本名とイギリスにある自宅の住所を共犯者に伝えたと明らかにしています。この情報が後に、アメリカの法執行機関の手に渡ることになります。
「インターネットを救った」ハッチンズは、もはや無名ではなくなりました。2日後、レポーターたちが彼の自宅に押しかけました。そのとき、ハッチンズと同じ学校に通っていた娘がいるジャーナリストがおり、彼がMalwareTechという別名を使用していたことをすでに知っていました。ハッチンズは当初、マスコミのインタビューに答えるのを避けていました。しかし、次第にAP通信のインタビューに応じるようになりました。そして2017年8月、彼は名誉あるゲストとして、ラスベガスで開催される名高いDEF CONハッカーカンファレンスに招待されました。
会議に姿を現した直後、彼はその場で逮捕されました。数か月におよぶ自宅軟禁を経て、Kronosに関する罪を一部認めたため、ハッチンズには執行猶予が付きの刑が科されました。テクノロジー系ニュースメディアWiredによる インタビュー で彼は、罪を犯した過去について、自分の過ちを後悔していると述べています。彼はお金が欲しいがために罪を犯したのではなく、自分のスキルを見せびらかし、アンダーグラウンドコミュニティで評価されたかったからだと明かしました。WannaCry発生時、罪を犯してから2年が経過しており、MalwareTechのブログは、多くの専門家に読まれ、高評価を受けていました。
WannaCryが最後のワームの流行だったのか?
私たちは最近、ILOVEYOUワームに関する 記事 について書きました。これは、2000年代初期に大流行をもたらしたワームです。多くの点でWannaCryと共通するところがあります。例えば、どちらのワームもセキュリティパッチが発表されていたWindowsの脆弱性を介して広まりました。しかし、アップデートを怠っていた端末が多くあったため、感染が拡大しました。世界中で何十万もの人が被害者となり、企業は、数百万ドルもの損失を負ったりユーザーのデータが盗まれたりしました。
しかし、異なる点もあります。WannaCryの作成者は、おそらく北朝鮮のグループだと考えられており、パブリックドメインで手に入れることができるハッキングツールを使用しました。また、ILOVEYOU は少しのファイルを削除するだけであるのに対し、WannaCryはユーザーのすべての文書を盗み、身代金を要求しました。幸いにも、WannaCryの作成者は、ワームに自らを止めるキルスイッチを埋め込んでいました。このWannaCry流行の話は、攻撃者の話であると同時に、マルウェアハンターの話でもあります。誰かが作り上げたワームを採取し、今後同じことが起こらないよう分析し、防御の仕組みを作ったからです。
WannaCryの流行は、多くの企業によって研究され、メディアでも大きな注目を集めました。これはまれなことです。最近頻繁に発生している企業を狙ったランサムウェア攻撃は、ニュースであまり大きく取り上げられません。どの個人も企業も狙われる可能性があります。トップクラスの専門家に頼り、要求に屈しないことが重要です。WannaCryの事例でも示されているように、非常に高度で効力の高い攻撃にも実は弱点があるのです。