Wanna Cryに攻撃手法を提供した「Shadow Brokers」とは何者か?

江添 佳代子

May 18, 2017 08:00
by 江添 佳代子

2017年5月12日頃から、ランサムウェア「WannaCry(WannaCrypt)」による被害が世界各地で報告されている。これほど多くの感染を短期間に引き起こしたランサムウェアの事例は、過去には見られなかった。そのため日本でも、「主に国外で被害を出しているランサムウェアが一般紙やニュース番組で大々的に取り上げられる」という珍しい状況となった。

「Wanna Cry」事件を理解するための2つのポイント

しかし事件を報じたメディアの一部には、あまり要領を得ない説明や、他のランサムウェア(あるいは他のサイバー攻撃)と混同しているような説明も少なくなかった。セキュリティに関心がない人にとって、この事件の概要を理解するのは困難だっただろう。中には「企業や病院から身代金を奪おうとした北朝鮮のハッカーが、米国の政府機関に侵入して、『諜報機関が開発したランサムウェア』を盗んだのだ」と思われかねないような、大胆な誤解を与えそうな報道もあった。

いったん問題を整理してみよう。セキュリティニュースとしてのポイントは、主に2つある。
 
(1)世界中の数多くの企業や組織がランサムウェアに感染した
この点には、何の目新しさもない。
過去に何度も伝えてきたとおり、ランサムウェアの被害は2015年〜2016年の時点で爆発的に増えており、被害を受けるユーザーの幅も広がってきた。自宅でゲームを楽しんでいる個人ユーザー、様々な企業や病院、インフラ施設や教育機関、警察機関に至るまで、あらゆる対象が様々なランサムウェアに感染し、最悪の場合は完全に業務を停止させられるなどの深刻な損害に見舞われてきた。
参照:ランサムウェア前線米国のインフラ企業がランサムウェアに襲撃されるランサムウェアでみんなが幸せに!? NASCAR史上&サイバーインシデント史上でも稀に見る「珍事件」

今回の事件の驚異的な点は、「有名企業や医療機関のコンピューターがランサムウェアに感染して営業できなくなったこと」ではなく、「これほど大量の被害者が、ひとつのランサムウェアの活動で一度にやられたこと」だ。その大きな理由のひとつが次項(2)である。
 
(2)そのランサムウェアは、「NSAの武器を取り入れた強化版」だった
今回の一連の攻撃で利用されたのは「WannaCry(WannaCrypt)」と呼ばれるランサムウェアだった。感染先のファイルを暗号化し、「一週間以内にビットコインで身代金を振り込まなければ、あなたのファイルは二度と復元できない」というメッセージを表示するという、いわば一般的な恐喝スタイルのランサムウェアだ。古いバージョンのWindowsにしか感染しないという点も考慮するなら、OSのアップデートを行っているユーザーにとって、それほど恐ろしいランサムウェアではない。

しかし今回の攻撃に用いられたWannaCryには「ランサムウェアを送り込むための攻撃手法」に大胆な工夫がもたらされた強化版だったという大きな特徴がある。この新しいWannaCryは、「Shadow Brokersを名乗るハッカーがイクエーショングループ(※)から盗み出し、オンラインに公開したサイバー兵器」の技術を取り入れていた。

より具体的に記すと、このマルウェアにはNSA(National Security Agency:アメリカ国家安全保障局)が武器にしていた2つのサイバー攻撃ツール「EternalBlue(Windows SMBのエクスプロイト)」と「DoublePulsar(エグゼキューションツール)」が用いられていた。これらはいずれもShadow BrokersがNSAから盗み出した、Microsoft WindowsのSMBの脆弱性に使われるツールだった。つまりWannaCryはNSAの攻撃手法を模倣したランサムウェアだと言える。
 
※イクエーショングループ…世界で最も高度な攻撃を行うハッカー部隊で、その正体は米国NSAそのもの(あるいはNSA内の一組織)だと考えられている。現在、それを疑う人はほとんどいないのだが、NSAはイクエーショングループとの関係を認めていない。したがってNSAは「Shadow Brokersが我々の攻撃ツールを盗んだ」と報告してはおらず、その問題についてノーコメントを貫いている。しかし今回のWannaCryのニュースを報じた多くの報道機関は、「NSAから盗まれたツールが攻撃に利用された」と表現しており、それに対する抗議もないようだ。

NSAから武器を盗んだShadow Brokers

The ZERO/ONEでは何度もShadow BrokersとNSAについて取り上げてきたが、あまりにも量が多いので、今回はダイジェスト版として、簡単に「Shadow Brokersと彼らが盗み出したNSAのツール」について説明する。もっと詳細に知りたい方には、以下の2シリーズをお勧めする。
 
ハッキング集団「ShadowBrokers」と沈黙のNSA
底知れぬ「Shadow Brokers」

2016年8月15日、自らを「The Shadow Brokers」と名乗るハッカー集団が突如として現れ、「我々がイクエーショングループから大量に盗み出したハッキング兵器を、オークションで販売する」と宣言した。つまり彼らはNSAのハッキングに成功した、と主張したことになる。もちろんNSAが「盗まれた」と被害報告を行うわけもないので、当初は半信半疑の反応を示す人々も少なくなかった。
 
しかし彼らの示した「出品物のサンプル」には、それがNSAから盗み出されたものだと断定できるような要素が含まれていたため、彼らが現れてから数日後には、その主張(および盗品のファイル)がほぼ間違いなく本物だと見なされるようになった。
 
Shadow Brokersの「オークション」は極めて雑なシステムだった。バイヤーが購入希望価格を競るのではなく、ただ「この口座に一番多くのビットコインを振り込んだ人へNSAの武器をプレゼントする」というものだ。つまり二番手以降の人々に対する返金は一切提示されていない。たとえ正体不明のハッカーを信頼してビットコインを支払う人々がいたとしても、最高額でなかった場合、支払ったビットコインがまるまる無駄になることは最初から明言されていた。
 
さらにShadow Brokersは「入札の合計金額が100万ビットコイン(当時の相場で約600億円)になったら、お礼として全員にデータを公開する」など、とても本気で金銭を得ようとしているとは考えられない発言も行っていた。そもそもオークションで一儲けするためにNSAから武器を盗み出すというのは荒唐無稽な話なので、ほとんどのセキュリティ関係者は「彼らには別の目的がある」と考えた。
 

Shadow Brokersの正体は?

 
あのNSAからデータを盗み出したShadow Brokersとはいったい何者なのか? 彼らの本当の目的は何なのか? 数多くの専門家たちが様々な見解を示したが、それらはあくまでも推論であり、Shadow Brokersに関してはいまでも多くが謎のままである。しかし「ロシア政府のハッカー集団が、何らかの政治的な意図をもって行った、外交的な行動(たとえば米国に対する警告や牽制など)だった」という説は大いに有力視されている(その説を早々に唱えていた人物の一人に、あのエドワード・スノーデンがいる)。
 
その後、Shadow Brokersは2016年10月30日にも再びデータをリークしたが、そのとき漏洩したファイルの内容は「NSAが踏み台として利用してきたサーバーのリスト」と考えられるものだった。大雑把に説明するなら、それは米国が他国に対してサイバー攻撃を仕掛ける際、自分の正体を隠して罪をなすりつけるために利用してきたサーバーの情報である。このようなリークを行ったShadow Brokersが「とにかく米国(NSA)の評判を落としたい」と望んでいる可能性は非常に高いだろう。

リークされた情報の衝撃

Shadow Brokersの正体や目的がどうであれ、NSAの武器(あるいはNSAがエクスプロイトに利用してきた脆弱性の情報)が盗み出され、その一部がリークされたことはセキュリティ業界に大きな衝撃を与えた。
 
たとえば2016年8月にリークされた情報には、「大手ベンダーのファイアウォール製品の脆弱性に対するエクスプロイトのツール」が大量に含まれていた。これらは数年前(主に2010年〜2013年)に盗み出されたものだったため、脆弱性の多くは既に修復済みであることが確認された。しかし盗品ツールのうち少なくとも一つは、まだフィックスされていない脆弱性(つまり2016年8月の時点で「ゼロデイ」だった脆弱性)を悪用したものだった。「EXTRABACON」と呼ばれるこのエクスプロイトは、Cisco製品の脆弱性を悪用してリモートコードの実行を試みるものだ。Shadow Brokersがリークするまでの間、その製品のユーザーはEXTRABACONの脅威に晒されていたということになる。

あわてて対応をする羽目になったCiscoは、数日中にパッチを配布したが、それをユーザーが当てるまでの間、その「ほとんど誰にも知らされていなかった脆弱性」は犯罪者(あるいは別の目的を持った何者か)に利用されてしまう可能性があった。セキュリティ研究者たちの多くは、「このような脆弱性を知りながら、あえてベンダーへは報告せず、米国の企業と世界中のユーザーを危険に晒してきたNSA」を批判した。まして、その情報が盗まれてオンラインにリークされたとなれば、悪用される可能性は飛躍的に上がってしまう。

WannaCryに取り込まれたNSAの技術

そしてShadow Brokersは今年4月14日、またしても「盗品のリーク」を行った。このときリークされた大量のファイルの多くはWindowsの脆弱性を狙った攻撃ツールだった。つまり米国の諜報機関がMicrosoftの気づいていない脆弱性を狙い、標的のWindowsマシンの制御を乗っ取るために利用してきた強烈な攻撃手法が、誰にでも手に入れられる形で公開されてしまった。しかし、これらの盗品は4年ほど前にNSAから盗まれたものであったため、Windows 8以前のマシンに対する攻撃ツールのファイルばかりだった。現在、多くの個人ユーザーは(なかば強制的とも言えるような形で)Windows10にアップデートさせられているので、その点は不幸中の幸いだったと言えるだろう。

しかし企業などの組織──とりわけシステムの入れ替えが困難となる大規模なインフラ施設など──では、いまでも古いWindowsを利用している現場が多い。そしてShadow Brokersの盗み出した攻撃ツールが「本当に悪用できるもの」であることは昨年8月の時点で分かっていた。そのため、たとえ「Windows 8以前のWindowsにしか効かない攻撃」であったとしても、決して油断はできないと考えていたセキュリティ関係者たちは少なくなかった。

そして翌月の5月、「NSAの攻撃手法を取り入れたランサムウェアWannaCry」が世界中のユーザーを襲った。このWannaCryは、4月にリークされた2つのツール「EternalBlue」と「DoublePulsar」を取り入れることにより、WindowsのSMBの脆弱性を狙って侵入し、感染を広げることができるように進化したものだと考えられている。これは昨年10月にShadow Brokersが現れてから、セキュリティ関係者たちがずっと抱いてきた「嫌な予感」がついに的中した結果だと言える。

念のために書いておくが、今回のWannaCryの攻撃はゼロデイアタックではない。この攻撃で悪用されるSMBの脆弱性は、今年3月14日にMicrosoftが修正していたものだ。しかし、そのフィックスは「現在サポートしているバージョンのWindows」に限った話であるため、いまでも古いバージョンのWindowsを使い続けているユーザーは脆弱な状態のまま取り残されていた。そしてWannaCryの被害状況を重く見たMicrosoftは5月14日、すでにメーカーのサポートが終了しているバージョン(たとえばXPやServer 2003)まで遡ったパッチを緊急で配布した。

我々ができること何か?

今回の事件の肝は、この部分なのではないだろうか。NSAは、少なくとも4年前からWindowsのSMBの深刻な脆弱性を知っていたが、それを自身が利用するためにあえて放置した。彼らがMicrosoftに連絡していたなら、その脆弱性は数年前に塞がれていたので、WannaCryによる攻撃が行われても、その被害規模は非常に小さくなっていたはずだった。そしてそもそもWanna Cry自体が、NSAから盗み出された武器を利用していた。つまりNSAには「脆弱性を独り占めにしてユーザーを危険に晒したこと」と、「その脆弱性を利用する強力な攻撃ツールを第三者に盗まれ、悪用されたこと」の両方の責任がある。

今回の事件から、我々は何を考えればいいのか? 自身を守るための、ごく当たり前のこととして、「マシン環境を常に最新の状態にすること」「どのようなシステムであれ、サポートの終了した商品を利用せずに済む方法を模索すること」「あらゆるマルウェアの感染を避けるために、できるだけの努力をすること」「こまめにバックアップを取ること」など、さまざまな警告を挙げることはできる。それはWannaCryに限らず、すべてのランサムウェアやマルウェアに共通した一般的なセキュリティの話だ。

しかしWannaCryの背景には、過去に見られた一般的なランサムウェアの事件とはまったく異なる大きな特徴がある。「一国の諜報機関が『自国の市民の安全を保つ活動』のためにゼロデイを独占しようと考え、それを攻撃に利用した挙げ句、攻撃ツールを第三者に盗まれてしまった。その結果として、彼らのエクスプロイトは世界中の組織を危険に晒しただけではなく、彼らに大きな実害を与えた」という皮肉な結末について、私たちはそろそろ真剣に考えるべきなのではないだろうか。




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…