日本IBM、“WannaCry”の動向や動作を分析するセキュリティセミナー実施

東京・箱崎にあるTokyo SOC。WannaCryが猛威を振るいはじめたときには約20人が勤務していた

　日本アイ・ビー・エム株式会社は、日本におけるWannaCryの感染状況や対策などについて説明。同時に、東京・箱崎に設置しているセキュリティ対策の最前線基地となるIBMセキュリティー・オペレーション・センター(Tokyo SOC)を公開し、5月12日以降のWannaCryへの対応などについても紹介した。

　同社では、5月30日、約40社の主要顧客の情報セキュリティ担当者などを対象にした「今、企業がとるべきセキュリティー対策セミナー」を開催。IBM アジアパシフィック&ジャパン セキュリティーオペレーションズ&レスポンス担当のマシュー・バーンズ ビジネスユニットエグゼクティブは、「最新パッチの適用、必要のないネットワークの遮断、重要なデータを定期的にバックアップするという当たり前のことをやることが、自社を守ることにつながる」とした。

　IBMによると、ランサムウェアのWannaCryは、全世界150カ国以上で、10万社以上が影響を受け、感染した端末は20万台以上に達しており、これまでに支払われた身代金は数十万ドル強におよぶという。身代金要求画面は27言語に対応。ほとんどの国で被害が発生したとされる。また、身代金の要求額は、4月には約400ドルだったが、5月には約300ドルになっていたという。

　同社では、「今回は偶然、キルスイッチが発見されたことで拡散の勢いが減速したが、新たな変異体や亜種は、キルスイッチがなかったり、異なるドメインですでに出現しているといった状況が見られている」と警笛を鳴らす。

　WannaCryが、自らキルスイッチを装備していた点については、「検体を取られ、動態解析を行なわれることを避けるための1つのトリガーとして装備していた。あるドメインにアクセスすることがキルスイッチになっていたが、このドメインはmssecsvc.exeにハードコートされていた」という。

　まずは、IBMのTokyo SOCでの取り組みを交えながら、WannaCryを取り巻く動きを追ってみたい。

　WannaCryが猛威を振るいはじめたのは、日本時間の5月13日に日付が変わろうとしている12日午後11時過ぎだったという。WannaCryは、WindowsのMS17-010で対応する脆弱性を悪用して感染させる大規模な攻撃で、12日深夜から、WannaCryがほかの端末へ感染を拡大するために利用する攻撃ツールの「EternalBlue」によるTCP445番ポート宛の攻撃通信(SMB通信)が増加しはじめ、IBM SOCでもそれを検知する動きが活発になってきた。

　それ以前にも、12日午後4時44分に、アジアのISPでの感染を把握。午後5時16分では南米での感染を捉えたほか、午後5時51分には日本での感染を把握しており、「アジアから感染がはじまっているが、日本でもかなり早い時間に感染していたことがわかる」(日本IBM IBM Security X-Force IRISの小倉秀敏シニアマネージングコンサルタント)という。

WannaCryの感染の経緯(時間はUTC)

　その後、欧州やブラジル、アルゼンチンにも被害は拡大。12日午後9時39分には、アジアのISPの72%で感染ノードが確認され、日付が変わった13日午前0時28分には南米のISPの65%で感染ノードが確認されたという。

　IBMのX-Force Threat Research Teamでは、日本時間の13日未明には、脅威に対する警戒レベルを示すAlertConを3に引き上げた。AlertConは通常は1であり、最大で4。4は世界中の主要なシステムが感染した状態を示すもので、そのレベルになったのは2001年に猛威を振るった「Code Red」のときだけだ。今回の3は、それに次ぐものであり、3に警戒レベルが引き上げられたのは、GNU Bashの脆弱性を突いたShellShock以来、約2年半ぶりのことだという。

IBM SOCが確認したWannaCryによる攻撃

Tokyo SOCにおける対応

　先にも触れたように、Tokyo SOCで、WannaCryを検知しはじめたのは、金曜日から土曜日へと日付が変わろうとするタイミングだったが、約20人が勤務して、情報を収集。在宅中の社員とも、VPNによって接続して情報を共有し、アラート監視体制を強化するなど、緊急体制を取った。

　Tokyo SOCでは、WannaCryの概要や対応シグネチャー情報、アップデートの推奨などのアドバイザリーによる情報提供を13日中に配信。その後、2回に渡って、アドバイザリーを通じた情報提供を行なった。5月18日には、攻撃が急速に減ったことで警戒レベルは2に引き下げたという。

　もともと、WannaCryの攻撃は、Microsoftから提供される修正アップデートによって回避できた。Microsoftは、日本時間の3月15日、WannaCryに悪用される脆弱性を修正するアップデート「MS17-010」をリリースしている。これを早期に導入しておけばよかったというわけだ。

　それから1カ月後となる4月14日、ハッカー集団のShadow Brokersが、Windows SMBの脆弱性を悪用するツールをリーク。4月21日には、WannaCryがほかの端末へ感染を拡大するために利用する攻撃ツール「EternalBlue」および「DoublePulsar」が公開され、全世界のIBM SOCでも、EternalBlueによる攻撃通信が少しずつ検知されるようになってきた。このときに、Tokyo SOCでも、アドバイザリーによる情報提供を実施。猛威が本格化する以前から、Windows Updateの実施を推奨し、注意を呼びかけていた。

　IBM SOCによると、検知のほとんどは海外でのものであり、日本での検知数は少ない状況だったという。

　日本IBMで確認したWannaCryの被害では、MS17-010を適用したさいに、業務アプリケーションの不具合が発生したため、アップデートが実施されずに、その結果、WannaCryに感染した例や、通常のインターネット接続回線以外に、アクセス制御や不正侵入防御装置が設置されず、適切に管理されていないADSLによる別のインターネットアクセス回線を通じて、WannaCryの感染が発生した例があったという。

　日本IBMセキュリティー事業本部マネージド・セキュリティー・サービス セキュリティ・オペレーション・センターのセキュリティアナリストである窪田豪史氏は、「国内企業環境において、攻撃検知や被害が少なかった理由として、一般的に、インターネットから組織ネットワークに対するSMB通信は許可しておらず、WannaCry感染のための攻撃通信が到達しなかったこと、さらに悪用された脆弱性は、3月にアップデートが提供されており、アップデートの実施が完了されているケースが多かったため」と分析している。

　また、IBMでは、4月21日に提供したシグネチャーが、EternalBlueの攻撃の一部を検知できるといったことも、同社ユーザーにおける被害を最小限に留めることができた要因の1つだとしている。

　ただ、海外においては、いくつもの被害が発生していた。

　IBM アジアパシフィック&ジャパン セキュリティオペレーションズ&レスポンス担当のマシュー・バーンズビジネスユニットエグゼクティブは、「全世界において、鉄道、病院、電気、通信、運輸などの企業が被害を受け、とくにドイツやロシアなどでは、重大なインフラに打撃を与えた。英国でも病院をはじめとする重大なヘルスケア業界での被害が見られた」とする。

　そして、「現時点での報告によると、ロシアがもっとも広範囲な影響を受け、次いで、ウクライナやインドでの被害が多かった。これらの地域では、いまだに古いバージョンのWindowsが使われていることを示している」とする。

　今回のWannaCryの発生時にTokyo SOCが重視したのが、正確な情報の発信である。

　「感染経路やマルウェアの挙動、被害状況に関しては、断片的な情報が数多く飛び交った。いま導入しているセキュリティ製品で検知や防御が可能なのか、被害はどれぐらい出ているのか、どんな不審メールによって感染するのか、感染を予防するにはどうすべきか、といった問い合わせが多かった。

　とくに、不審メールによって感染するといった誤解が多かった点については正しい情報提供につとめた。5月13日時点で、海外での数億通のメールを検証したが、メールがWannaCryの感染経路になっているという事実はなかった。日本でも約3,000通のメールを検証したが、同様に、メールを通じた感染の事実はなかった」とする。

　正確な情報をもとに対策を講じるという点で、多くの企業に蔓延した不審メールを通じて感染するという誤解を排除することは、今回のWannaCry対策において重要な要素だったというのがIBMの見解だ。実際、1次感染には、SMB経由とメール経由の攻撃があったが、感染拡大を引き起こした2次感染では、SMBの脆弱性を突いたものが利用されている。

WannaCryへの対策は基本的なことを実施することが前提だという

　日本において回収した検体をもとに調べたところ、WannaCryのtasksche.exeによって生成されたファイルのタイムスタンプは、アクセス、データ更新、メタデータ更新の3種類あり、いずれも同じ時間だったという。

　「この3つが同じ時間ということは、PC上でファイルが生成され、同時に保存されたと考えられる。通常の攻撃では、侵入後、そこに特権ユーザーのIDなどを使い、外部からのネット接続でファイルをコピーしてマルウェアを置くことになるが、WannaCryでは脆弱性を突いた攻撃パケットのデータの一部をドロップし、ファイルとして生成したと言える。これはメールの攻撃ではなく、直接インターネットによる攻撃でファイルを作られたということになる」。

WannaCryの感染経路

　IBMが国内で確認した感染環境では、メールを使っていないPCであり、Web閲覧も特定のアプリユーザーサイトにのみ接続している環境だったが、それでもWannaCryに感染したという。このユーザーの場合、4月26日から、WannaCryによる攻撃が検知され、5月に入ってからは3回に渡って、ブルースクリーンの状況に陥るという動きを見せていた。

　「4月22日に開かれたMicrosoftの開発者会議で、ある国の技術者が、PCがクラッシュする事象が起こるが、その理由を尋ねる質問をしていた。だが、その時点では、攻撃だという認知は誰もしていなかった。振り返れば、その時点から攻撃が行なわれていたことがわかる」とした。

　WannaCryは、mssecsvc.exeが本体と言えるプログラムになる。ポートスキャン用のSMBプロトコルを呼び出し、ターゲットのエンドポイントにWaanaCryを送信。さらに、これを増殖させる役目を担うDoublePulsarがバックドアを仕掛ける。

　そして、EternalBlueは、DoublePulsarのサーバーをスキャンし、ファイルを生成して、WannaCryを伝播。感染したエンドポイントでは、Torクライアントが起動され、匿名通信を開始する。それにより、160のファイル拡張子を暗号化し、シャドウコピーを削除。その後、警告文を送り、暗号解除とファイルを復元するための指示付きメッセージを送信する。

WannaCryの感染後の活動

　身代金の支払いはビットコインであり、その期限を設けている。また、WannaCryは、近接するデバイスのSMBサービスの脆弱性を利用して、ほかのPCにも感染させる活動を行ない、それによって感染を拡大していったという。

　Tokyo SOCでは、WannaCryの感染防止のペストプラクティスとして、以下の5つの点を提案する。

• すべてのWindowsシステムに、該当する最新のパッチが適用されていること
  
• 外部ホストからSMBポート(とくにポート139と445)をブロックし、UDPポート137と138をLANからWANに対してブロックする
  
• SMBv1とSMBv2を無効にし、クライアントのポリシーによるSMBv3接続のみを許可する
  
• PCにおいて、DoublePulsarをスキャンし、ウイルス対策シグネチャーが最新であることを確認する
  
• 重要なデータを定期的にバックアップする

　「いずれも基本的な対策であり、セキュリティ対策の原点に戻り、これをきちんと実施することが重要である」とする。

　また、グローバルガイドラインを活用したランサムウェア対策についても推奨している。とくに、オーストラリア国防信号局が作成したガイドラインである「DSD35」で示された対策優先順位が効果的であるとする。このガイドラインでは、38の対策を5段階の優先順位に分類。最上位の「Essential」として、8種類の対策を推奨している。

オーストラリア国防信号局が作成したガイドライン「DSD35」の対策優先順位が効果的だという

　「この8つの対策のうち、ホワイトリスト型アプリ起動制御、アプリへの2日間以内でのパッチ適用、特権IDの厳密な管理、OSへの2日間以内でのパッチ適用という4つの対策を確実に実施することで、サイバー攻撃の85%に対する防御が可能だと言われている。とくに、2日以内にパッチを適用することは重要な対策になる」とする。

　2日以内でのパッチ適用の有効性については、パッチ管理がセキュリティ対策の基本であること、ネットワーク上での攻撃検知の限界が発生していること、アンダーグラウンドで攻撃ツールが売買されており、短時間に脆弱性を突いたマルウェアが広がる可能性が高まっていることなどがその背景にあるとする。

　だが、基幹システムなどの場合には、パッチ適用後のアプリの動作確認作業が求められるため、2日以内でのパッチ適用が現実的には難しいという実態もある。

　IBMでは、IPSである「IBM QRadar Network Security」を利用することで、WannaCryが行なう不正通信の拡散や、脆弱性を狙った通信を遮断することが可能であることを紹介。パッチ適用によるアプリ動作検証までのリスク軽減や、時間がかかる傾向がある組み込みOSにおけるパッチリリースまでのリスク担保、アプリケーションの互換性の問題でパッチ適用ができないFAシステムなどの保護などに有効だとしている。

　また、IBMのBigFixを活用することで、パッチ適用の効率化を実現し、運用者の負荷を軽減。EDR(Endpoint Detection and Response)を新たに追加したことで、端末の管理と脅威の検知を同時に実施することができるという。「IBMからパッチ情報を自動配信し、パッチ適用が必要な端末に、自動適用することができる。パッチ適用期間を10分の1にまで削減できた例もある」とする。

IBMによるラムサムウェアに対抗するソリューション

　さらに、コグニティブサービスを利用した分析、検知技術の採用や、専門家集団によるプロアクティブなインシデント対応が可能な体制を整えておくことも大切だという。

　IBMでは、WannaCryの猛威は沈静化しはじめたとしているが、変異体や亜種が広がっており、依然として注意が必要だと警告している。

WannaCryの感染の動き