世界的な広がりを見せたランサムウエア「WannaCry」は、WindowsのSMB(Server Message Block)の脆弱性を利用して急速に拡大したとみられている。その対策としては、マイクロソフトが提供するセキュリティパッチの適用や、SMBに関連したポートを閉じることが必要とされている。

 だが問題はWannaCryだけにとどまらない。なぜなら、WannaCryが利用したとされている米NSA(国家安全保障局)製ツールによりバックドアを仕込まれると、別の攻撃を受ける恐れがあるためだ。

 本記事では、「EternalBlue」や「DoublePulsar」の名前で報じられる機会が増えているバックドアツールを実際に試してみた結果をレポートする。

4月から始まったバックドアツールによる攻撃

 5月15日、警察庁は「EternalBlue」などのツールを利用したアクセスが継続しているとの観測を発表した(写真1)。

写真1●警察庁が発表したアクセス数の推移
(出所:警察庁)
[画像のクリックで拡大表示]

 こうしたアクセスが増えたのは、WannaCryによる被害が増えた5月12日よりも以前、The Shadow Brokersと称するグループが、NSAから流出したとされるツール群をGitHubに公開した4月14日以降となっている。宛先ポートが445/TCPとなっている点は、WindowsのSMBの脆弱性「MS17-010」を利用しているためだ。

 MS17-010は、TCPポート445番にリモートから送り込まれた任意のコードを、ユーザーの同意なくシステム権限で実行してしまう重大な脆弱性だ。EternalBlueはこの脆弱性を利用して、標的のPCにバックドアを仕掛けるツールである。

 さらにこのEternalBlueを開発したのがNSAとみられる点も議論を呼んでいる。NSAは脆弱性を知りながら公にせず、密かに「活用」してきた可能性が高いとされている。米マイクロソフトは「いわば、米軍のトマホークミサイルが盗まれたようなもの」とNSAを名指しで非難した。

 この対策としてマイクロソフトは、脆弱性を修正するセキュリティパッチを2017年3月に提供している。時系列で見ると、その約1カ月後にNSAのツールがGitHubに公開され、そこからさらに1カ月後にWannaCryが登場した形になる。サポートが提供されているOSを利用し、パッチを正しく適用していれば、WannaCryによる被害は防げたはずなのだ。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が4月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら