« Back to Blog

WannaCry? – AIは泣かない

By Koichiro Otobe

もしもあの時ああしていたら、人生の中にはそう思わずにいられない場面が多くあります。それは仕事や人間関係であったり不運な事故であったり、ときにはギャンブルの場合もあるでしょう。人間は誰しも未来を見ることはできないので、こういった後悔から逃れることはできません。

悪夢の始まり

5月12日、スペインのコンピュータ緊急レスポンスチームであるCCN-CERTがスペイン国内の大手通信会社に対してランサムウェアの攻撃が急速に広がっていることを警告しました。またその後、英国 のNational Health Service(NHS)からも国内のいくつかの組織に対する攻撃についての注意喚起が公開されました。この「WannaCry(泣きたくなる)」という名が付けられたランサムウェアによる攻撃は、欧州だけでなく世界100カ国以上に感染を拡大し、政府機関、病院、通信会社、自動車会社などで実際に被害が確認され、世界で20万台以上が感染したとテレビやメディアなどでも大きく報道されることになりました。

実はこの攻撃の予兆は数ヶ月前からありました。今年4月、The Shadow Brokersを名乗る人物またはグループが米国家安全保障局(NSA)から盗んだとされる攻撃用のツールやエクスプロイトコードを公開しました。この中にはWindowsの脆弱性を利用するエクスプロイトコードが12個含まれており、そのうちの1つ「EternalBlue(エターナルブルー)」のコードが今回WannaCryで使われたものとみられています。EternalBlueが利用するSMBの脆弱性はマイクロソフトにより今年の3月にリリースされたセキュリティアップデートMS17-010にて既に修正されていますが、感染被害が広がった事実からも分かるとおり、実際にこれらのセキュリティパッチを適用せずに運用している組織では被害が拡大することになりました。

感染、暗号化、そして拡大

WannaCryは感染をするとファイルを暗号化して金銭を要求するランサムウェアの一種です。初期の感染経路はまだ不明ながら、メールやWeb、SNSを通じて感染したと報告されており、感染をすると以下のような活動を行います。

  • 特定のURLにアクセスしてアクセスができなかった場合には感染動作を開始(キルスイッチ)*このキルスイッチ動作がない検体も確認されています
  • 166種類のデータファイル(拡張子)を対象にファイルを暗号化
  • 暗号化したファイルのファイル名には「.WNCRY」という文字列を付与
  • ボリュームシャドーコピーを削除

暗号化処理が完了すると、デスクトップの背景画像が暗号化されたことを示すメッセージを含めたものに変更され、身代金の要求と期限を示すタイマーが表示されます。そして感染した端末は前述のSMBの脆弱性を利用してネットワーク経由で周囲の端末にリモートからコード実行をすることで感染を拡大していきます。

 

図 WannaCryに感染した端末上に表示される画面

更なる懸念

WannaCryはネットワーク経由で感染を拡大させる機能を持っているため、直接のインターネット接続を持ってない端末でも被害に合う可能性があります。こういった環境はインターネットに直接接続できないためにセキュリティアップデートなどもコンスタントに実施されない傾向があり、同じネットワーク内で一台でも感染すると爆発的に被害が拡大する可能性があります。今回マイクロソフトは特別対応として既にサポートが切れているWindows XPやWindows Server 2003にもセキュリティアップデート(修正パッチ)の提供を開始しましたが、クローズドな環境の端末の場合にはこのようなアップデート作業がすぐに実施できないケースもあるため、完全な対策には時間がかかることが予想されます。

パターンファイルやハッシュリストにおける限界

アンチウィルスを始めとする、セキュリティベンダの対応は迅速でした。5月13日および14日の2日間に渡って、各メーカーはブログやWebサイトを通じてWannaCryに関する情報を次々と発信し、確認されたファイルのハッシュ情報を報告し、またこれらの既知のファイルを検知するためにブラックリストやパターンファイルを作成・配布しています。今回の攻撃に対する各社のコメントをみてみると「各種技術を使って検知対応しています」「xxx製品では今回の脅威をブロックします」「今回の攻撃に対するプロテクションを配布・適用しました」といった文言が並んでいます。しかし、現在も報告されるWannaCryの亜種の数は増加し続けており、各メーカーはそれらに対応したハッシュやパターンファイルを順次作成しながら対応をしています。攻撃者は従来型のアンチウィルスやセキュリティ対策製品ではマルウェアのファイルが報告されるとブラックリスト化してパターンファイルとして配信・対策されることを知っていますので、攻撃には毎回新しいファイルが使われることになります。つまり過去に確認されたマルウェアファイルを検知できるかどうかは基本的にあまり意味を持ちません。

重要な考察

今回のように大規模な攻撃が発生し、そのインシデントがニュースで大きく報道されると、企業内では経営陣からセキュリティ担当に対して「今回の攻撃には対応できているのか?」という質問が投げられることになります。しかし、その質問は適切ではありません。経営陣が本当に聞かなければいけないのは、今回の攻撃に使われたマルウェアに現時点で対応できているのかどうかでなく、先週金曜の時点で攻撃を受けたのがもしも自分の会社であったら対応できていたのか、です。セキュリティ担当者は、各セキュリティベンダに具体的に今回の攻撃に使われたマルウェアに対していつから対応できていたのかを確認すべきです。もしもあの時ああしていたら、という後悔はほとんどの場面で考えても仕方がないものですが、サイバーセキュリティを考える上では重要な考察になります。

AIによる予測防御

CylancePROTECT®では一連の攻撃が報告される前から既にWannaCryランサムウェアに対応していました。CylancePROTECTは従来製品のようにパターンファイルを利用せず、機械学習の技術を活用してデータモデルを作成した上で、そのモデルに基づく予測判定によって未知のマルウェアを検出します。サイランスではこれまでにIn-the-Wildで報告されているWannaCryのサンプルファイルを入手して試験を行い、CylancePROTECTで検知・ブロックできることを確認しています。WannaCryを検知できるCylancePROTECTのデータモデルは2015年11月にリリースされていますので、弊社製品をご利用のお客様は既に1年半以上も前から今回の攻撃を防ぐことができる状態になっていたと言えます。

想像してみてください

もし今回の”泣きたくなるような”攻撃を受けたのが自分の会社であったならどうだったでしょうか。現在利用しているセキュリティ製品はその時にあなたの会社を守ってくれていたでしょうか。もしその質問に自信を持ってYESと答えられなかったとしたら、セキュリティ対策を今一度見直した方がいいかもしれません。

CylancePROTECTをご利用でない場合、AIを活用したソリューションがいかにして未知の新しい脅威を予測・阻止できるかについてぜひサイランスまでお問い合わせください。

Tags: