• HOME
    • セキュリティブログ

Mac OSユーザーの多くの方が、自分のコンピュータはランサムウェアなどの攻撃を受けることがなく、「安全に利用できる」と信じています。確かに、マルウェアによる攻撃を受けて感染する可能性は、Mac OSユーザーの方がWindowsユーザーよりも低くなっています。しかし、これはオペレーティングシステムにおける脆弱性レベルとはまったく別の話です。Mac OSユーザーが感染する確率が低いのは、パーソナルコンピュータの90%以上がMicrosoft Windowsで動作しており、Apple社のMac OSのシェアはわずか約6%であることが大きな理由です。

Windows:91.64%, Mac OS:6.34%, Linux:1.99%
図1:デスクトップOSの市場シェア(参考資料:NetMarketShare

MacRansomのポータル

最近、FortiGuard Labsでは、TORネットワークでホスティングされているWebポータルを使用したサービスとしてのランサムウェア(Ransomware-as-a-Service、RaaS)を検出しました。RaaSの脅威は最近多く見られるようになっています。興味深いことに、この攻撃では、サイバー犯罪者はWindows以外のオペレーティングシステムを標的にしています。これは、Mac OSを標的とした初のRaaSかもしれません。


図2:MacRansomのTORポータル

このMacRansomのマルウェアは、ポータルから簡単には入手できません。ランサムウェアを作成するためには、作成者に直接コンタクトする必要があります。最初は、ランサムウェアのサンプルがありませんでしたので単なる詐欺だと思っていましたが、確認のためにこの作成者へ電子メールを送信したところ、意外にも返信がありました。


図3:About Us

最初の電子メールでは、攻撃を受けたユーザーが支払うビットコインの額、ランサムウェアが動作を開始する日時、USBドライブをMacに接続した時に実行されるかどうかなど、この作成者が私たちの要件として示している事項について問い合わせました。

午前11時(GMT+8時間)頃に電子メールを送信し、最初に応答があったのはその日の午後9時頃でした。

応答1:(午後9時)

6月1日を動作開始日とすることに同意し、私のビットコインのアドレスを伝えると、作成者は嬉しそうにサンプルを送ってきました。

応答2:(午前11時)

作成者による返信が迅速であったため、ランサムウェアについてさらに詳しく聞いてみることにしました。

応答3:(午前12時)

応答があった時刻から考えて、作成者と私たちのタイムゾーンは異なる可能性があります。返信があったのは夜遅くでしたが、作成者のタイムゾーンでは午前中だったかもしれません。また、最初の返答で、この作成者は「あなたの現地時間で6月1日深夜」という表現を使っていました。つまり、私たちが電子メールを送信した時に、時差について認識していた可能性があります。

このマルウェアの作成者の地理的な場所を確認するために、元のSTMPヘッダーを調査したところ、GMT-4時間のタイムゾーンで活動していることが分かりました。


図4:SMTPヘッダー

挙動の分析

次に、私たちはマルウェア自体の検証を開始しました。以下は、このランサムウェアの作成者が公表している特徴です。コードを確認して、これらの特徴が本当であるかどうかを確認することにしました。


図5:MacRansomの特徴

MacRansomのサンプルを実行してみると、このプログラムの開発者は不明であるというメッセージが表示されました。つまり、開発者が不明の不審なファイルを開くことがない限り、ユーザーが攻撃を受けることはありません。[Open(開く)]をクリックすると、ランサムウェアの実行が許可されます。

分析への対策

ランサムウェアは最初に、サンプルがMac以外の環境で実行されているかどうか、またはデバッグされていないかどうかを確認します。これらの条件を満たしていない場合、ランサムウェアは動作を終了します。

このランサムウェアは、ptraceを呼び出し(つまり引数PT_DENY_ATTACHを使用してプロセストレースコマンドを実行し)、ランサムウェアがデバッガーに渡されていないかどうかを確認します。


図6:Ptraceコマンド

次に、sysctl hw.modelコマンドを使用してマシンのモデルをチェックし、「Mac」という文字列と比較します。


図7:モデルのチェック

最後に、マシンにCPUが2つ搭載されているかどうかをチェックします。


図8:論理CPUのチェック

実行拠点

最初期のチェックをパスすると、ランサムウェアは~/LaunchAgent/com.apple.finder.plistに実行拠点を作成します。悪意のある挙動を検出されにくくするため、このファイルはMac OSの正規のファイル名を意図的に模倣します。この実行拠点を確立すると、MacRansomはMacが起動するときに毎回実行されるようになり、指定された時間に確実に暗号化できるようになります。

com.apple.finderのコンテンツ:

元の実行可能ファイルは、次に、~/Library/.FS_Storeにコピーされます。このファイル名も、正規のファイルに非常に似せています。ファイルがコピーされた後に、ファイルのタイムスタンプは、touch -ct 201606071012 '%s'コマンドを使用して変更されます。タイムスタンプの操作は、通常、デジタルフォレンジック調査の担当者を混乱させる目的で使用されます。

ランサムウェアは、次に、launchctlを使用して、作成したcom.apple.finder.plistをロードします。

暗号化

先に説明したように、暗号化が実行される時刻は作成者によって設定されます。今回のケースでは、2017年6月1日の午前12時に実行されるように設定されていました。日付がこれより前であれば、ランサムウェアは終了します。


図9:実行時刻のチェック

実行時刻が条件を満たしていれば、ランサムウェアは、次のコマンドを使用して、標的とするファイルの列挙を開始します。これは、ランサムウェアがファイルを列挙する方法としては珍しいものですが、ほとんどのランサムウェアがディレクトリをトラバースし、暗号化する対象のファイルの拡張子のリストを追加するため、これも有効な方法の1つです。

%sは、ランサムウェアのファイルパスです。


図10:ファイルの列挙

このランサムウェアは、上記のコマンドで返された最大128個のファイルのみを暗号化します。

暗号化を行う他のランサムウェアと同じように、私たちは、分析の多くの時間を中核のコンポーネントである暗号化アルゴリズムに費やしました。その狙いは、RSA暗号ルーチンを見つけることでしたが、この暗号化ランサムウェアは、これまでに見つかっているOSXを標的とする暗号化ランサムウェアほど高度ではありません。攻撃を受けたユーザーのファイルを人質にするために、ハードコードされたキーによる対称暗号化を利用しています。ランサムウェアによって使用される対称キーのセットは、次の2つです。

  • ReadmeKey:0x3127DE5F0F9BA796
  • TargetFileKey:0x39A622DDB50B49E9

ReadmeKeyは、ランサムウェアに関する説明と操作指示が記載された._README_ファイルの復号に使用され、TargetFileKeyは、攻撃を受けたユーザーのファイルの暗号化と復号に使用されます。

暗号化と復号のアルゴリズムをリバースエンジニアリングして分かった注目すべき点は、TargetFileKeyがランダムに生成された数で変更されることです。つまり、このマルウェアの実行が終了すると、暗号化されたファイルを復号化することはできなくなります。TargetFileKeyはプログラムのメモリから解放されてしまうため、暗号化されたファイルを復元するための復号プログラムや復元ツールを作成することがさらに難しくなります。さらに、TargetFileKeyについてC&Cサーバーと通信する機能はありません。つまり、ファイルを復号するためのキーのコピーは簡単には入手できません。ただし、それでも技術的にTargetFileKeyを復元することは可能です。有効な手法の1つは、ブルートフォース攻撃を使用することです。ファイルのコンテンツを予測できる既知のファイルを暗号化するために同じキーが使用されている場合、8バイト長のキーに対してブルートフォース攻撃を実行しても、最新のCPUを使用するとその処理に長時間かかることはないはずです。

しかし、図12の「ランサムウェアの説明」に記載されているように、攻撃を受けたユーザーがこの作成者に不明なファイルをランダムに送信しても、人質となったファイルを復号できるという作成者の主張は疑わしいと私たちは考えています。

暗号化プロセスの擬似コードは以下のとおりです。


図11:暗号化ルーチン

標的のファイルを正常に暗号化したら、ランサムウェアは、com.apple.finder.plistと元の実行ファイルの両方を暗号化します。タイムスタンプを変更してから、削除します。ランサムウェアの痕跡を取得するために復元ツールを使用しても、ファイルをほとんど意味をなさないものにするために、作成者はこの処理を行っています。

ランサムウェアは、0.25ビットコイン(約700ドル)を要求します。攻撃を受けたユーザーは、復号する場合にgetwindows@protonmail.comに連絡する必要があります。


図12:ランサムウェアの説明

結論

Mac OSプラットフォームを標的とする新しいランサムウェアは、毎日登場しているわけではありません。Windowsを標的とする最新のランサムウェアと比較してその機能がはるかに劣っていても、攻撃を受けたユーザーのファイルは暗号化され、重要なファイルにアクセスできなくなります。

-= FortiGuard Lion Team =-

最後に重要なことを説明しますが、過去のOSXランサムウェアと似たコードと設計思想が多く見られていることから、このMacRansomの亜種は、模倣犯によって生成されている可能性があります。これは、以前のOSXランサムウェアとは異なる分析対策のための手法が採用されていますが、これは多くのマルウェアの作成者によって広く取り入れられているありふれた手法です。MacRansomは、さまざまなOSプラットフォームでランサムウェアの脅威が拡散していることを示す1つの例です。ランサムウェアを完全に防止する術はありません。しかし、重要なファイルを定期的にバックアップしたり、不明なソースや開発者のファイルを開くときに注意したりすることで、その影響を最小限にすることができます。

-= FortiGuard Lion Team =-

付録

  • サンプル:
    a729d54da58ca605411d39bf5598a60d2de0657c81df971daab5def90444bcc3 - Zip
    OSX/MacRansom.A!trとして検出
    617f7301fd67e8b5d8ad42d4e94e02cb313fe5ad51770ef93323c6115e52fe98 - Mach-O file
  • ドロップされるファイル:
    ~/LaunchAgent/com.apple.finder.plist
    ~/Library/.FS_Store
  • MacRansomポータルのFAQ:

WannaCryはどのようにして拡散するのでしょうか?

WannaCryの拡散方法は複数あります。まず第一に、Shadow Brokersの名称で知られるハッカーグループが去る3月に公開し、数週間のあいだにマイクロソフトのWindowsを実行するコンピュータ数千台を感染させた、Backdoor.Double.Pulsarを使用した拡散が挙げられます。DoublePulsarはカーネルモードで実行されるため、ハッカーは感染したコンピュータに対する高度な制御が可能になります。

FortiGuard

Double.Pulsarがインストールされていることを感知すると、WannaCryマルウェアはこの手法を利用してペイロードのダウンロードと実行を試みます。興味深いことに、当社で分析した例においては、DoublePulsarを無効化するフラグが使用されていないケースが発見されています。

DoublePulsarが使用できない場合、WannaCryはNSAエクスプロイトのETERNALBLUEに関連するマイクロソフトの脆弱性を悪用し、SMB(Service Message Block)プロトコルを介して拡散します。マイクロソフトは、サポート対象のすべてのWindows用にこの脆弱性を解消するパッチを2017年3月に公開しており、2017年5月12日(金)にはすでに公式サポートが終了しているWindows XPとWindows 2003向けにも追加でパッチを公開しました。

マルウェアが標的となったシステムへの侵入に成功すると、WannaCryは内部ネットワークで拡散を試みるとともに、TCP139ポートおよび445ポートでSMBを介してインターネット上のランダムなホストへも接続しようとします。

企業への主要な感染経路のひとつとして、ESTEEMAUDITと呼ばれるRDP(Remote Desktop Protocol:リモートデスクトッププロトコル)ベースのエクスプロイトが使用されたという話もあります。お使いの環境を正しく理解することが重要です。

DoublePulsarに関して興味深い観測結果はありますか?

フォーティネットは、去る4月27日に約6,000件のDoublePulsarのエクスプロイトやプローブの試みを検知しており、翌28日の検知件数は約16,000に上りました。DoublePulsarは数週間にわたって密かにインストールされたとみられています。これによって数万台ものコンピュータのバックドアが開いた状態となり、その後WannaCryの主要な感染経路として利用されました。フォーティネットは、WannaCryによる攻撃の数日前にDoublePulsarの活動が急速に増えたことを確認しています。これは、攻撃の足場を攻撃者が綿密に調査していたことを意味していると考えられます。この事実がWannaCryのキャンペーンと関連があると断言するに足る証拠は存在しませんが、非常に興味深い観測だったと言えます。

TCP139ポート、TCP445ポート、そしてRDPをブロックすれば問題ありませんか?

これらをブロックすることでマルウェアによるシステムの感染を防ぐことは確かですが、多くのWindowsアプリケーションもこれらのポートを必要とする場合があることを留意して下さい。単純にポートをブロックするだけでは、重要なビジネストラフィックにも影響を与えることがあります。最善の対策は、マイクロソフト提供のパッチMS17-010を適用することです。

マイクロソフトのパッチを適用しても、WannaCryに対する脆弱性は残りますか?

いいえ。マイクロソフトのパッチMS17-010を適用したシステムは、システムに感染しようとするマルウェアに対する脆弱性はありません。

SMBバージョン1を無効化するとどうなりますか?

このマルウェアは、SMBバージョン1を介してのみ拡散すると考えられています。しかしながら、SMBの後発バージョンにはバージョン1との後方互換性を備えているものがあるため、パッチを適用しない場合にはシステムが脆弱な状態が続く可能性があります。

今回の攻撃は、わずか48時間のうちに100か国を超える国々の200,000以上のシステムに対して行われたことから、「大規模」で「最も広範囲に拡散した」ランサムウェア攻撃だと多くの人々が説明しています。この数値は、ランサムウェアの拡散スピードとしては桁外れの速さだったのでしょうか? あるいは、そのワーム的な振る舞い、イギリスの国民保険サービスに対して大きな被害を及ぼしたこと、当初はマイクロソフトがパッチを提供していなかったWindow XPの脆弱性を利用した攻撃だったことなど、たまたまあるランサムウェアに関係していた他の理由に関係があるのでしょうか?

実際の感染規模という観点だけでなく、このランサムウェアが(ユーザーのインタラクションなしに)拡散した経路やスピードが注目に値すると説明する研究者もいるでしょう。しかしながら、私たちは類似の感染規模や拡散特性の攻撃を、CryptoLocker/CryptoWallなどですでに経験しています。このケースでは、100万台近くのデバイスが最終的に感染しましたが、悪意を持って意図的に拡散されました。

これはゼロデイ攻撃ですか?

このマルウェアは、技術的な意味では既知の脆弱性を悪用するものであるため、ゼロデイ攻撃ではありません。

このマルウェアのコードが、継ぎ足し開発の可能なモジュール型であることから、亜種の作成は容易ではないですか?

コードは、大半の人々がモジュール型だと考える形式で作成されています。しかしながら、それが理由で亜種による攻撃が広範囲に拡散したということはありません。昨今の攻撃の多くは、同様のモジュール型のアプローチで開発されています。こういった攻撃を阻止するためには、複数の段階でそのような攻撃を検知して感染を防止することのできる、包括的なセキュリティソリューションの導入が必要です。

新たに登場した亜種はありますか?

類似のマルウェアのサンプルを研究者が特定していますが、その多くは5月11日からその週末に渡って多くのシステムに被害を与えたWannaCryマルウェアを単に編集しただけのものだと判明しています。このような編集バージョンの多くは、バイナリエディターを使った簡単な変更のみが行われており、一般的に亜種の作成で必要となるコードの再コンパイルは行われていません。例えば、VirusTotalにアップロードされたサンプルは、ドメイン名が別のものに変更されただけのものでした。

WannaCryはTORを使用しますか?

このマルウェアパッケージには、WannaCrypt0rという名前のセグメントが含まれています。このセグメントにより、 https://dist[.]torproject.org/torbrowser/6.5.1/tor-win32- 0.2.9.10[.]zip からTORクライアントがダウンロードされ、被害を受けたシステムのTaskDataフォルダ内に解凍されます。このTORクライアントは、gx7ekbenv2riucmf[.]onion、57g7spgrzlojinas[.]onion、xxlvbrloxvriy2c5[.]onion、76jdd2ir2embyv47[.]onion、そしてcwwnhwhlz52maqm7[.]onionにあるランサムウェアのC&Cサーバーとの通信に使用されます。

フォーティネットのサンドボックスは、シグネチャの公開前にこのマルウェアを検知できたのでしょうか? 新しい亜種の場合はどうですか?

はい。フォーティネットの製品担当チームは、FortiSandboxによって、このマルウェアだけでなく未知のバージョンや編集されたバーションに至るまで、その振る舞いだけで検知できたことを確認しています。さらに、このマルウェアの新たな改変バージョンが頻繁に登場していることもわかっています。今日まで、フォーティネット製品の保護機能により、そのような新しい編集バージョンの振る舞いだけでそれらはすべて検知されています。

WannaCryの感染は、フィッシング詐欺のキャンペーンを通じて始まったのですか?

WannaCryは、元々フィッシング詐欺のEメールを通じて始まったという説がありますが、この説を裏付ける証拠はこれまでのところ見つかっていません。どのようにWannaCryの感染が始まったのか、その確かな答えは見つかっていませんが、US-CERTはWindows XP / Windows Server 2003のRDPに対するESTEEMAUDITエクスプロイトが利用された可能性があるとの見解を示しています。

ちょっと待って下さい、WannaCryがまずどのように企業や組織に感染したかはわかっていないのではないですか?

現時点では確実な答えはわかっていませんし、結論を出すには時期尚早です。企業組織の多くは、システムの復旧で手一杯の状態です。フォーティネットは、今回私たちが体験した攻撃は計画的な陰謀の結果だとは考えていません。恐らく、今後数日から数週間の間に、通常のインシデント対応とフォレンジック分析のプロセスを通じてさらに詳しい状況が明らかになるでしょう。

主要なランサムウェアファミリー(例えばLockyなど)に関していうと、そのインストールにはまず添付ファイルをクリックするなど、ユーザーによるアクションが必要になることが一般的です。このため、WannaCryに関して見受けられる大きな特徴の1つとして、ユーザーのアクションなしにインストールされることが挙げられるのではないでしょうか?

これまでのランサムウェア攻撃とは異なり、実際のWannaCryマルウェアはユーザーのアクションなしに拡散します。しかしながら、最初の感染経路については未だわかっていません。その感染経路や、どのようなインタラクションが必要なのか(もし必要な場合)、明らかになっていません。これは、最初の感染者/企業組織が誰だったのか、未だ不明であることが最大の理由です。

WannaCryと関連して解説に登場する「キルスイッチ」ドメインとは何ですか?

5月11日から週末にかけて攻撃を行ったWannaCryの亜種には、起動を開始すると特定のドメインへの接続をマルウェアに試みさせるコードが含まれており、このドメインに接続できると動作を停止します。このコードが発見されて以降、WannaCryと関連があることがわかったキルスイッチドメインは登録され、現在は研究者たちによってホスティングされています。フォーティネットは、このドメインを情報リサーチ用ドメインとして分類しています。

このキルスイッチドメインにアクセスすると、WannaCryは無効化されるのですか?

WannaCryマルウェアのオリジナルバージョンが関連付けられたキルスイッチドメインにアクセスできると、ファイルを暗号化する代わりにその活動を中止します。しかしながら、シンプルなバイナリエディターを使用してキルスイッチドメインへのアクセスが必要な箇所を削除したバージョンも存在することが明らかになっています。その結果、このキルスイッチは今後登場する亜種に対しての効力が失われてしまったと思われます。

キルスイッチドメインへのアクセスがブロックされた場合、あるいはインターネットへのアクセスにプロキシが使用されている場合はどうなりますか?

WannaCryのキルスイッチドメインへのアクセスが、セキュリティツールやその他のネットワーク設定によってブロックされた場合、マルウェアはファイルの暗号化を継続します。例えば、WannaCryはプロキシに対応していません。このため、インターヘットへの接続にプロキシが必要な場合、キルスイッチドメインへの通信(およびインターネットホストへの感染の試み)は失敗します。

Uiwixマルウェアに関する話を聞いたことがありますが、これはどのようなものでしょうか? また、フォーティネットはこのマルウェアの脅威からシステムを保護できますか?

Uiwixは、WannaCryの新種だと考えられており、同様にSMBの脆弱性を利用して攻撃を仕掛けます。その詳細は、こちらのページでお読みいただけます。

本ブログ執筆時点で、フォーティネットはこのマルウェア固有のサンプルを検査していないため、このマルウェアの脅威からシステムを保護できるか判断することは困難です。また、このマルウェアの分析用サンプルやハッシュ値の発見にも至っていません。研究パートナー各社、Cyber Threat Alliance、そして友人たちにも接触してみましたが、このマルウェアそしてハッシュ値とも、まだ私たちのいずれの監視チャネルにおいても発見されていません。

とは言えフォーティネットは、WannaCryのIPSシグネチャおよび当社のダイナミックAVシグネチャジェネレータによって、この脅威についても検知および防止が可能だと考えています。

Jaffマルウェアとは何ですか?

Jaffマルウェアは、WannaCryとほぼ同じ時期に登場したランサムウェアです。研究者の多くは、当初JaffおよびWannaCryはお互いの亜種だと考えており、同じマルウェアだという研究者もいました。Jaffは、主にスパムメールや他のスピアフィッシング型の攻撃を介して拡散しています。初期の報告では、このマルウェアはWannaCryと何らかの関連性があると言われていましたが、すでにそれは間違いだったことがわかっています。フォーティネットは、現在Jaffランサムウェアに対する保護機能を提供しています。

シグネチャにおいて、ブロック以外のアクションを行うよう設定されている時のデフォルトの振る舞いに気付きました。フォーティネットのQA(品質確認)プロセスが完了する前に、この設定を変更することはできますか?

フォーティネットは、モニターモードでシグネチャを公開する場合があり、続いてそのIPSルールによって誤検知やエラーが発生しないことを確認した後、設定をブロックに変更します。通常、シグネチャの適切なテストの終了後ブロックに設定されます。フォーティネットがデフォルトの振る舞いを変更する前に、シグネチャの振る舞いをご自分で変更したい場合は、お使いのFortiGateで次の手順に従って変更することができます。

  • [Security Profiles]、[Intrusion Prevention]へ移動します。
  • [Add Signature]をクリックして、シグネチャを名前で検索します。シグネチャが見つかったらそれを選択して、[Add Signature]ボタンをクリックします。
  • シグネチャが追加されたら、[Action]を右クリックしてデフォルトのアクションを変更します。
  • 追加のオプション[Logging Option]を右クリックして、ログ記録に関するデフォルトの振る舞いを変更することも可能です。

設定を任意で変更しない場合、充分なテストの終了後にFortiGuardサービスのアップデートを通じてルールは適切な設定へと自動的に変更されます。

WannaCryの制作や配備に関わった人についてわかったことはありますか?

これについては噂しかありません。フォーティネットのエンジニアは、ハッカーグループのKDMSの関与を指摘する文献を発見しています。詳細は、こちらのページをご参照下さい。

また、北朝鮮の関与を示す証拠も、Googleの研究者であるNeel Metha氏によって見つかっています。

旧型のFortiGate製品向けの防御ソリューションは提供されますか?

現在提供されているシグネチャは、FortiOS 4.xおよびFortiOS 5.x用のものです。拡張データベースが有効になっていることを確認して下さい。旧型のFortiGateデバイスでは、コマンド「diagnose ips global rule reload」を使用してIPSシグネチャのリロードが必要な場合もあります。 適切なシグネチャが見つからない場合は、フォーティネットのテクニカルアシスタントセンター(Fortinet TAC)までお問い合わせ下さい。

被害者は身代金を支払っているのでしょうか?

関連するビットコインウォレットのアドレスに対する監視によると、被害者は実際に身代金を支払っていることがわかっています。

身代金の支払後、被害者はファイルを取り戻すことができているのでしょうか?

暗号化されたファイルの復号キーを入手できた被害者も存在することを報告するレポートがあります。しかしながら、身代金の支払いによってファイルの復旧が保証されているわけではなく、ファイルが再度暗号化される可能性も否定できません。身代金を支払ったにもかかわらず、ファイルを取り戻せなかったと主張する被害者も存在します。ファイル復旧に関して実装されているプロセスは手動によるもので、スケーリングしません。

ビットコインウォレットのアドレスは何ですか?

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

リモート環境で仕事をする従業員の場合、このマルウェアからの保護対策として使用すべき最善のフォーティネット製品は何ですか?

FortiClientです。

フォーティネットの保護対策はどのようなものですか?

フォーティネットは包括的なアプローチを採用しており、セキュリティソリューションと他のベンダーのセキュリティ製品を、単一の一体型フレームワークとして知られているフォーティネット セキュリティ ファブリックに統合しています。このセキュリティ ファブリックにより、ランサムウェアの攻撃経路として最も多く使用されるフィッシングメールをはじめ、脅威のあらゆる攻撃経路においてランサムウェアの攻撃に対する保護を実現します。

フォーティネットのソリューション:

未知のランサムウェアを検知し、特定する
FortiSandboxおよびその他の先進の脅威検知テクノロジーによって、新たなランサムウェアとその亜種をすべて検知することができるため、保護対策の改善に必要となる実用的なインテリジェンスが作成されます。
これまで見たことのないランサムウェアの攻撃を阻止するために重要なのは、セキュリティ ファブリック内のローカルに存在する検知用と防御用コンポーネントの間で、実用的な脅威インテリジェンスが自動共有されることです。異なる企業や組織を網羅する減災対策は、FortiGuardのグローバルインテリジェンスによって実現し、Cyber Threat Alliance initiativeを通じて一般社会に広く提供されます。
今日のランサムウェアをブロックする
ネットワーク、エンドポイント、アプリケーション、データセンター、アクセスポイントを網羅するフォーティネットのセキュリティソリューション導入することで、企業組織へのあらゆる入口で、最新のものを含めたすべての既知のマルウェアの攻撃を阻止することができます。フォーティネットのセキュリティソリューションは、すべてFortiGuardのグローバルな脅威インテリジェンスサービスを活用しています。
フォーティネットのAVエンジンにより、 WannaCryマルウェアの既知のバージョンすべての攻撃に対する保護が実現します。フォーティネットのAVエンジンは、以下をはじめとする製品にインストールされています。
  • FortiGate
  • FortiSandboxアプライアンス
  • FortiSandbox Cloud
  • FortiMail
  • FortiClient
  • FortiWeb
フォーティネットは、このマルウェアによって使用される技術に対する保護を実現するIPSシグネチャを提供しています。すべてのシグネチャを確実に「DROP」に設定するために、別途構成が必要になる場合があります。フォーティネットのIPSシグネチャは、以下をはじめとする製品で利用可能です。
  • FortiGate
フォーティネットのIPレピュテーションとWebフィルタリングにより、C&Cサーバーへの通信がブロックされます。フォーティネットのWebフィルタリングとIPレピュテーションサービスは、以下をはじめとする製品で利用可能です。
  • FortiGate
  • FortiClient
  • FortiSandboxアプライアンス
  • FortiSandbox Cloud
  • FortiMail
  • FortiWeb
アプリケーション制御シグネチャは、TORプロトコルをブロックすることができます。この機能を有効にするには、別途構成が必要です。フォーティネットのTORアプリケーション制御機能は、以下をはじめとする製品で利用可能です。
  • ForitGate
フォーティネットは、ネットワーク内で侵害を受けたシステムの感染や、関連の悪意のある通信を検知することのできる製品を多数提供しています。これらのデバイスは、インシデント対応においても効果を発揮します。
  • FortiSIEM
  • FortiAnalyzer
  • FortiCloud
データセグメンテーションおよび内部セグメンテーションファイアウォール
このFAQですでに概要を説明した手法に加えて、セキュリティのベストプラクティスの一環として、このランサムウェアが備えているワームのような振る舞いによってネットワーク内で感染が拡散することのないように、ネットワークのセグメント化が適切に行われていることを確認してください。
データのセグメンテーション、バックアップ、そして復旧に関する戦略は、ディザスタリカバリや監査などの多くのシナリオと同様に、ランサムウェアをはじめとするセキュリティへの脅威に関心の高い企業や組織に欠かすことのできないものです。
FortiGate内部セグメンテーションファイアウォールをネットワークに導入することで、セキュリティは飛躍的に向上し、内部に脅威が侵入してもその拡散を阻止することができます。ISFWは、境界内部でネットワークをセグメント化します。重要な知的財産が保存されている特定のサーバー、あるいはクラウドに配備されているユーザーデバイスやWebアプリケーションの前に配備が可能です。
  • フォーティネットのISFW(内部セグメンテーションファイアウォール)


FortiGuard Labs

フォーティネット社グローバルセキュリティストラテジスト、Derek Mankyのブログ―大局的な視点からとらえた今回のWannaCry攻撃とは―これは台風の目に過ぎないのでしょうか?

WannaCryによる脆弱性を利用した攻撃は世界的なニュースとなりましたが、すでに沈静化してしまったように見受けられます。すでに最悪の時期は過ぎたのでしょうか、あるいは台風の目に過ぎないのでしょうか?

多くの理由から、私は今回のWannaCry危機はすでに終息したと考えています。すべてのエクスプロイトキットには活動のピークがあります。サイバー犯罪者による不意打ち的な意外性はすでに失われていることから、この脆弱性(SMB CVE 2017-0144)の大部分は最も危険な状態を過ぎたと考えています。また、関係各国の捜査機関、CERT、そしてCyber Threat Allianceのメンバーによるグローバルな連携も大きな役割を果たしました。

WannaCry攻撃に続いてAdylkuzzなどによる新たな攻撃の波が押し寄せようとしているとの話もあります。

誰にも知られずに動作するボットネットは、対策の整ったものと比較して甚大な被害を及ぼすことが多く、またその検知もさらに困難です。不意打ちで大規模な攻撃が発生すると、すべての人々は次の攻撃への準備を始めます。企業や組織の大半は、そのような攻撃を防ぐ対策をすでに整えており、WannaCry攻撃や類似のエクスプロイトによる被害が繰り返されないように厳戒態勢を敷いています。グローバルな通信サービスプロバイダ各社は、SMBエクスプロイトのさらなる拡散を防ごうとして445番ポートのブロックもすでに開始しています。これにより、Adylkuzzなどによる攻撃にも対応できるようになります。前述した、そしてそれらに似た理由で、模倣的な攻撃の威力は今のところ著しく弱まっていると私は考えています。

また、Adylkuzzのような別の攻撃が他ならぬこのエクスプロイトを使って大規模な感染を引き起こすことが可能になる兆候は、現在のところ見つかっていません。しかしながら、マルウェアの作成者たちがAdylkuzzの攻撃を成功させる別の方法を見つけ出すことはできないと断言するわけではありません。

参照している指標は何ですか?

世界中に数百万ものセキュリティセンサーを設置しているFortiGuard Labs脅威研究チームは、グローバルな脅威ランドスケープの動向を常に把握しています。例えば、FortiGuardのデータでは、企業や組織が警戒を緩めたタイミングを攻撃者がとらえた時に、多くのエクスプロイトや攻撃の試みが爆発的に増加することが示されています(SMBの脆弱性CVE-2017-0144に対する攻撃が340%上昇した時にはDoublePulsarが使われてWannaCryが拡散しました)。それ以降、攻撃活動は大きく確実に減少しています。

今回の攻撃は金曜日と土曜日にピークを迎え、日曜日には44%も減少したことをフォーティネットでは確認しています。それ以降、エクスプロイト活動は日々半減を続けてきました。グローバルな攻撃件数は、ピークを境に現在では53%減少しています。一日当たりの件数は6桁から5桁へと減少しており、この傾向は今後も続くことが予想されています。これは、概して脆弱性のあるシステムの大半がすでに被害を受けてしまった、あるいは防御対策が完了したことが理由です。

結果として、WannaCry(そしてAdyllKuzz)の攻撃対象は著しく縮小しました。この事実は、類似の攻撃がすでにレースに乗り遅れたことを意味しています。意外性はすでに失われていることに加え、検知機能や対抗手段も配備済みであることから、ゆっくりとした着実な攻撃では最早このレースに勝つことはできません。

では、多くのニュースで報じられているように、WannaCry攻撃は非常に成功したエクスプロイトだったのでしょうか?

これは、成功の尺度によって判断が異なります。WannaCryは、ゼロデイ攻撃ではない攻撃であっても非常に成功する可能性があることを示しました。しかしながら、身代金を奪うキャンペーンとしての観点では失敗に終わっています(攻撃者のビットコインウォレットの分析では、支払われた身代金は少なかったことがわかっています)。WannaCryはインパクトの強い素早い攻撃でしたが、これまでで最も大規模なボットネットでは決してありません。

ランサムウェアのボットという観点で言えば、Cyber Threat Allianceは2015年にCryptoWall v3によって400,000件を超えるランサムウェア攻撃が試みられたことを観測しています。これは、WannaCryに関して言われている件数のほぼ2倍の規模です。また、サイレントなトロイの木馬/ボットネットに関しては、感染数ベース(Mariposaボットネット)で1,500万件を超える被害をフォーティネットは確認しています。

このような大規模なボットネットは、独自の攻撃手段を使ってボットネットを拡散しているブラックハットグループのメンバーたちが提供する、CaaS(Crime-as-a-service:サービスとしての犯罪)によって盛んに増幅されるため、より広範な対象を攻撃します。

WannaCry攻撃がほぼ沈静化したのであれば、次に差し迫っている脅威はどのようなものでしょうか?

ShadowBrokerのエクスプロイトキットに重点を置くと、サイバー犯罪者集団のブラックハットグループが、今後有効だと思われるまだ注目されていない新たなエクスプロイトを、ダークネットのあらゆる場所で探していると考えられます。彼らが目論んでいるのは、不意打ち的な意外性のある攻撃を再度仕掛けることです。当社の2017年の脅威予測説明しているように、私たちは世界最大規模のボットネットの攻撃を受ける可能性があり、ピーク時には1,500万件を上回る感染の被害が発生すると予想されます。これは、IoTの脆弱性を利用した攻撃によって引き起こされる可能性が極めて高く、IoTデバイス、サービス、重要なデータ、他の知的財産などが奪われる結果になるでしょう。データの収集、標的型攻撃 、そしてさらに難解な他の脅威など、犯罪活動は今後も続くとフォーティネットは考えています。


WannaCryマルウェアは、先頃世界中で多くの企業組織やシステムに被害をもたらした大規模な感染の発生源で、FortiGuard Labsはこのマルウェアの監視を注意深く続けてきました。フォーティネットは、今回の攻撃の分析結果とともに、攻撃から企業や組織を守るための対策をこちらのページですでに公開しています。今回のブログでは、このマルウェアのベータ版から最新のバージョン2.0までの各バージョンに関して、注目すべき特性をいくつか簡単に解説するほか、興味深い発見について紹介します。

ベータ版:

Beta Version - Your files have been safely encrypted!

フォーティネットがこのベータ版を発見したのは、2017年2月9日頃でした。作成者の基本的なアイディアは、AES-128を使用してSMB共有フォルダ内のファイルを含めた「重要な」ファイルを暗号化するというものでした。ファイルの暗号化ルーチンは、暗号化されたファイルの形式を除いて大きな違いはありません。また、増殖する機能も備えていませんでした。

  • ビットコインウォレットのアドレス:
    1G7bggAjH8pJaUfUoC9kRAcSCoev6djwFZ
  • TOR:
    rphjmypwmfvx6v2e.onion

暗号化されたファイルのフォーマットは以下のとおりです。

  • DWORD - 0x8F701CD3、マジックヘッダー
  • DWORD - key_Length
  • BYTE[key_length] - RSAで暗号化されたAESキー
  • QWORD - encrypted_data_length
  • BYTE[encrypted_data_length] - 暗号化されたデータ

WannaCry 1.0

WannaCry 1.0 - Ooops, your files have been encrypted!

フォーティネットは、2017年3月28日頃にこのバージョンを発見しています。このバージョンでは、ベータ版からいくつかの変更点がみられます。その一部を紹介します。

リソースがパスワードで保護され圧縮されていて、単一のペイロード(暗号化されています)として暗号化ルーチンをタスク化します。暗号化されたファイルのフォーマットが更新されているほか、ハードコードされた辞書を使ってSMB共有フォルダへのアクセスを試みます。TORダウンロード用リンクが構成ファイル内に記述されており、ハードコードされたRSAキーも変更されています。

  • ビットコインウォレットのアドレス:
    1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
    15zGqZCTcys6eCjDkE3DypCjXi6QWRV6V1
  • TOR:
    sqjolphimrr7jqw6.onion

WannaCry 2.0

WannaCry 2.0 - Ooops, your files have been encrypted!

このバージョンでの最も重要な変化は、増殖する機能が追加されたことでした。

  • ビットコインウォレットのアドレス:
    115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
    12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
    13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
  • TOR:
    gx7ekbenv2riucmf.onion
    57g7spgrzlojinas.onion
    xxlvbrloxvriy2c5.onion
    76jdd2ir2embyv47.onion
    cwwnhwhlz52maqm7.onion

今回の調査において、作成者が構成ファイル「c.wry」内にこのマルウェアとは無関係の情報を隠そうとしていた事実を発見しました。

それでは、「c.wry」を遡ってみていきましょう。

c.wry dump 1

c.wry dump 2

c.wry dump 3

c.wry dump 4

掲載したスクリーンショットでハイライトされた行は、作成者がホストに関連する情報のデータを削除しようとしていることを示しています。そして、恐らくこれによってこの構成ファイルが生成されると考えられます。さらに、最後のスクリーンショットではデータ「KDMS/bitu.skaria」がみえます。KDMSは、良く知られたハッカーグループの名称です。作成者の名前は、「Bitu Skaria」なのでしょうか? フォーティネットは今後も調査を続け、最新情報を随時お伝えします。

Fortinet advanced threat protection demo


過去数日間にわたり、悪意のあるマルウェアWannaCryの亜種が世界中で企業や組織に被害を与えています。今回のサイバー攻撃は、開発元企業が2か月以上前に重要なセキュリティ更新プログラムを公開済のソフトウェア製品の脆弱性を悪用することで拡散しました。

使用中のシステムをアップデートするリスクなど、脆弱性のあるシステムにパッチを適用するまでにはある程度の時間が必要となる理由は確かに存在しますが、2か月という時間は、企業や組織がIT環境を保護するために適切な手段を講じるには十分だといえます。

FortiGuard

今回のマルウェアによる被害が記憶に新しい今こそ、企業や組織のCISOやサイバーセキュリティ部門がセキュリティの戦略や運用上の対策を見直す良い機会になります。以下に挙げるのは、すべての企業や組織が確立すべき5つの重要なセキュリティ対策のリストです。

基本的な質問を自分自身に問い掛ける:「セキュリティ侵害を受けるとわかっていたら、自分の対応はどのように変わるだろうか?」 この考え方に基づき、まず取り組むべきことを2つ挙げます。

  1. インシデント対応チームを組織する。
    活発な脅威への対応策に関して組織内部に混乱がある場合、適切な対応の遅れがあまりにも頻繁に生じます。このため、インシデント対応チームを組織して、メンバーに対して明確に定義された役割と責任を与えることが極めて重要です。同時に、指揮命令系統および意思決定ツリーと連動するコミュニケーション経路も確立する必要があります。効果的に機能するためには、チームがビジネス、コミュニケーションプロセスとプライオリティ、どのシステムを安全にシャットダウン可能か、そして活動中の脅威が組織内のインフラストラクチャに被害を及ぼすかどうか判断する方法をすべて熟知していることが不可欠です。さらに、脅威のシナリオを幅広く検証するとともに、可能であれば、迅速かつ効果的な対応を担保するために手順とツールとのギャップを特定することを目的とした、教練の実施も重要です。また、インシデント対応チーム用として、組織内のITの可用性や整合性に依存しないコミュニケーション手段を確保しなければなりません。
  2. 結果を重視したエンジニアリング手法を活用し、悪い結果になることを抑制する。
    効果的なセキュリティ戦略では、インフラストラクチャにセキュリティテクノロジーを導入配備する以上の対策が要求されます。セキュリティ計画を立案する際には、まず攻撃や情報漏えいが発生した場合に起こる可能性のある悪い結果を見据えた目で、アーキテクチャを分析しなければなりません。ランサムウェアへの対抗策の例としては、重要な情報資産はバックアップされ、オフラインに保存されていることの担保などが挙げられます。より一般的な点として、結果を重視したエンジニアリング手法では、重要な資産が何か理解すること、リモートアクセス妨害、アプリケーションやデータの破壊、主要なITや経営資産の利用妨害など、自社組織がどの種類の脅威に対してもっとも脆弱か判断すること、そしてリスクを計画的に排除するためのエンジニアリングがすべて密接に関連し、脅威が現実のものとなった場合に悪い結果になる可能性を回避、または最小化します。

続く3つは、より運用本位の対策です。単独ではどれも不充分ですが、連携することで「綿密な防御」を実現します。

  1. 適切なウイルス予防策を実践することで侵害を防止する。
    正式なパッチ適用と更新の手順を確立し、継続実施します。手順の実施は自動化され、評価を伴うことが理想的です。さらに、パッチを適用できないシステムを特定し、交換するかオフライン化するプロセスが実装されている必要があります。過去15年間、フォーティネットのFortiGuard脅威研究/対策チームは、世界規模で脅威の監視、記録、そして対応を続けてきました。フォーティネットはその経験上、企業や組織が脆弱性のあるシステムを更新または交換するだけで、セキュリティ侵害の大多数を回避することができただろうと認識しています。さらに、定期的に重要な資産の正常なコピーを作成してマルウェアが存在しないかスキャンすること、そしてランサムウェアや機能障害を引き起こす類似のサイバー攻撃が実際に発生した場合に備えて、バックアップデータをオフライン環境に保存することが重要です。
  2. シグネチャの作成と活用によってネットワークを保護する。
    未知の攻撃は実際にリスクとなりますが、セキュリティ侵害の大半は、登場以来数週間、数か月、場合によっては数年以上も経過している攻撃手法によって実際に引き起されています。シグネチャベースの検知ツールにより、侵入の試みを迅速に見つけ出し、ブロックすることができます。
  3. ビヘイビアベースの分析を使用して未知の脅威を検知し、対応する。
    すべての脅威に識別可能なシグネチャが存在する訳ではありません。ビヘイビアベースのセキュリティツールを使用することで、隠されたC&Cシステムの発見、不適切または予期しないトラフィックやデバイスの振る舞いの特定、攻撃の封じ込め/サンドボックス処理によるゼロデイ亜種などの無効化、そしてデータの集約が可能となり、高度な脅威の特定と対応が実現します。

また差し迫っているのは、リスクの予測、検知後対応するまでの時間短縮、自社独自のプロファイルに適した新しいアプローチの実装と統合を可能にする、モデリングと自動化の必要性です。

例えば、今回目の当たりにしたようなワーム/ランサムウェアの組み合わせによる攻撃に対抗する「自動回復機能」には、ハイスピードなサイバースペースにおける脅威の自動検知、重要な資産の自動隔離、ローカルあるいはクラウドにおける元の状態のネットワーク容量やインフラストラクチャの自動作成、安全なストレージから重要なツールや資産を自動再配備する機能などが含まれ、企業や組織をできるだけ早く通常状態に復旧させます。

フォーティネット セキュリティ ファブリックは、高度な脅威インテリジェンスの共有機能とオープンアーキテクチャを活用するセキュリティフレームワークを提供するために設計されています。これにより、セキュリティおよびネットワーキングコンポーネントを単一の自動化されたプロアクティブな防御/対応システムへと統合することができます。また、新たなテクノロジーが開発されるに伴ってシームレスにそのテクノロジーを統合できるため、最新のセキュリティ戦略やソリューションを短期間でネットワークに実装可能です。さらに、恐らく最も有望な点は、「将来性」を考慮した戦略を具現化していることです。例えば、既存のエンタープライズシステムを廃棄することなく、先進のテクニックやテクノロジーをその登場に伴ってシームレスに追加できることが挙げられます。

ランサムウェアが引き起こすサービスの機能不全は些細なものではなく、WannaCryは実際に深刻な被害をもたらします。完全な信頼性を備えたソリューションは存在しませんが、先に述べた対策は将来的な被害を最小限に抑えるために大変役立ちます。