• HOME
    • セキュリティブログ

昨日、新しいランサムウェアで世界中が大混乱しました。ランサムウェアの機能とワームの挙動を併せ持った、この新しいマルウェア亜種は、標的とされたマシンのマスターブートレコードを変更する機能がPetyaマルウェアファミリーと共通するものであるかどうかを研究者が調査中であるため、Petya、Petrwrap、あるいはNotPetyaと様々な名前で呼ばれています。フォーティネットはこの新しいハイブリッド型マルウェアをランサムワームに指定しており、このランサムウェアはWannaCryと同じワームのメカニズムを使って世界中に拡大したと報告されています。

この記事では、FortiGuard Labsによる調査で明らかになった、このランサムワームのいくつかの技術的側面を説明します。このブログではこのランサムワームをPetyaと呼ぶこととします。また、このランサムワームはW32/Petya.EOB!trとして検知されます。Petya関連の最新ブログ記事は、ここからお読みいただけます。

このマルウェアはDLLとして送り込まれますが、最初にエクスポートされる関数に不正行動が見つかりました。

このマルウェアは、実行開始後の最初の手順として、3つのトークン特権、SeShutdownPrivilegeSeDebugPrivilege、およびSeTcbPrivilegeを有効にします。


図1:トークン特権の調整

次に、プロセス名のハッシュを実行することで、実行中のプロセスをチェックします。ハッシュアルゴリズムの一部を以下に示します。


図2:プロセス名のハッシュアルゴリズム

次に、結果値が次のいずれかであるかどうかをチェックし、それぞれに対応するフラグを設定します。

  • 0x2E2A4B44
  • 0x6403527E
  • 0x651B3005

この分析を実施した段階では、どのプロセス名がどのハッシュ値に対応するのかを確定できなかったため、この件については、今後も調査を継続します。

実行中のプロセスをチェックした後に、このランサムウェアは、固有ファイル名を取得します。


図3:固有ファイル名の取得

このファイル名は、後で一種のキルスイッチとして使用されるため、とても重要です。

Petyaはこの後に、コマンドラインをチェックします。現段階では、この部分の詳しい調査が完了していないため、このマルウェアが使用している引数の詳細は不明ですが、引数が不明であっても、分析を続けることは可能です。

このマルウェアは次に、調整済みトークン特権のフラグが2であるかどうかをチェックします。これは、SeDebugPrivilegeが有効であることを意味します。そして、この条件に該当すると、2つの関数呼び出し(後述)を中止して、システムをシャットダウンします。


図4:特権フラグのチェック

上図に示すように、フラグが2でない場合、Petyaは2つの関数を呼び出します。

最初のMsub_CreateWindowsFileと我々が呼んでいる関数を見ると、(PathFileExistsWを使って)ファイルの存在チェックを実行しているのがわかります。ファイルが存在すると、ExitProcessを呼び出すコードに分岐し、マルウェアは終了します。研究者は、この関数が「キルスイッチ」となる可能性があると指摘しています。


図5:「キルスイッチ」

このマルウェアがExitProcessを呼び出すように強制するには、チェックしているファイルの名前を見つける必要があります。そこで、コードを再確認してみると、ファイル名がpszPathと呼ばれるメモリロケーションに格納されていることがわかります。


図6:チェックするパス

このメモリロケーションの内容を確認するには、我々がMsub_AppendToWindirと名付けた関数を調べる必要があります。


図7:Msub_AppendToWindir関数の内容

上記のスクリーンショットに示すように、我々がテストで使用したDLLの完全パスとファイル名はC:\_Virus\Petya.dllであり、これは、図3のコードで返されたものです。上記の図7のコードを順番に確認してみましょう。

  • 1つ目のAPI呼び出し、PathFindFileNameWは、Petya.dll(ディレクトリ名を削除)を返します。
  • 2つ目のAPI呼び出し、PathCombineWによって、ハードコーディングされたパスC:\Windowsとこのファイル名が連結され、C:\Windows\Petya.dllという結果が得られます。
  • 3つ目のAPIコール、PathFindExtensionWは、C:\Windows\Petya.dllをパラメータとして使用し、拡張子名(.dll)を返します。このアドレスは、レジスタEAXに格納されます。
  • このマルウェアは、上記の下線付きコードで値0x00をこのアドレスに格納することで、文字列を終端させています。ここまでの処理で、文字列がC:\Windows\Petyaに変更されました。

上記の処理の後に、関数を抜けます。図5を戻ってみると、PathFileExistsWの呼び出しでチェックする内容が分かります(我々の例では、C:\Windows\Petya)。このファイルが存在すると、このマルウェアは、ExitProcessのコールへと進みます。

WannaCryのようなわかりやすいキルスイッチではありませんが、これは、標的である被害者が受け取るファイル名が変更される可能性があるためです。

以上は、新しい活動中の脅威を対象とする現段階での分析であるため、FortiGuard Labsは今後も調査を継続し、最新情報を本ブログで随時ご紹介する予定です。

  • MD5: 71b6a493388e7d0b40c83ce903bc6b04

フォーティネットによる保護

AVシグネチャ:
W32/Petya.EOB!tr
W32/Agent.YXH!tr
その他のシグネチャについては調査中です。
IPSシグネチャ:
MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution
作成日 2017年3月14日
最終更新日 2017年6月5日

また、フォーティネットのWannaCry IPSルールは、上記の脆弱性を標的としたエクスプロイトを阻止すると考えられます。フォーティネットのチームが現在この主張を検証しています。
サンドボックス検出:
フォーティネットのサンドボックス(FortiSandbox)はこの攻撃を検出します。
TOR通信:
AppControlシグネチャを介してTOR送信トラフィックをブロックします。

フォーティネットは現在、世界的に拡散している新たなランサムウェア「Petya」の亜種を調査中です。このランサムウェアはエネルギー、銀行、交通システムなどの重要インフラをはじめ、幅広い業界や組織に影響を及ぼしています。

これは、最近のエクスプロイトを利用するように設計された新世代のランサムウェアです。最新バージョンは、今年5月のWannaCry攻撃で悪用された脆弱性と同じ脆弱性を標的にしています。Petyaの亜種は、フォーティネットがランサムワームと呼んでいるものです。この亜種は1つの組織を標的にするのではなく、メールに添付したワームで攻撃可能なデバイスをすべて標的にするという大雑把な手法を採用しています。

この攻撃は、既知のMicrosoft Officeのエクスプロイトを利用するExcelドキュメントを拡散することから始まったと考えられています。これによってデバイスが感染すると、PetyaはWannaCryが他のデバイスに感染する際に使用したのと同じ脆弱性を利用し始めます。このマルウェアが示すワームのような振る舞いは、SMBサーバーへのアクティブプローブによるものであり、EternalBlueとWMICを介して拡散しているようです。

脆弱なデバイスがいったん標的になると、Petyaは感染サイクルにおいてマスターブートレコード(MBR)を改ざんします。続いて、「あなたのファイルは暗号化されたため、アクセスできなくなりました」という脅迫状がユーザーに表示され、約300ドルの身代金をデジタル通貨ビットコインで支払うよう要求されます。さらに、コンピュータをシャットダウンすると、システムが完全に失われることになると通告されます。

これは、他のバージョンのランサムウェアに見られるようなカウントダウン型やデータファイルの段階的消去とは異なる手法です。ほとんどのランサムウェア攻撃では、失われる可能性があるのはデータだけです。しかし、Petyaはマスターブートレコードを改ざんするので、システム全体が失われる危険性があります。また、1時間毎にシステムを再起動するため、DoS攻撃の要素も付加されます。

興味深いことに、PetyaはMicrosoft Officeのエクスプロイトだけでなく、WannaCryと同じ攻撃手法を使用して、今年初めにShadow Brokersによって発見された脆弱性と全く同じMicrosoftの脆弱性を悪用しています。しかし、このエクスプロイトでは複数の攻撃手法が用いられているため、1つのパッチを適用するだけでは攻撃を完全に阻止することはできませんでした。つまり、パッチの適用と優れたセキュリティツールや対策を組み合わせる必要があります。たとえば、フォーティネットのお客様は、すべての攻撃手法を検出してブロックするフォーティネットのATP、IPS、およびNGFWのソリューションによって保護されていました。さらに、フォーティネットのAV(アンチウィルス)チームが、ランサムウェア発見から数時間以内に新たなAVシグネチャを公開し、防衛の最前線を強化しました。

今回の攻撃には非常に興味深い点がいくつかあります。第一に、マイクロソフトの脆弱性およびパッチが広く公開されているにもかかわらず、また世界中でWannaCry攻撃に関する追跡調査が行われているにもかかわらず、重要なインフラストラクチャを管理している組織を含め、何千もの組織がいまだにデバイスにパッチを適用していません。第二に、今回の攻撃は、新たに公開された脆弱性を標的にした攻撃のためのテストである可能性があります。

金銭的な観点から見るとWannaCryは成功とは言えず、開発者にほとんど収益をもたらしませんでした。その原因の1つとして、セキュリティ研究者が攻撃を無効にするキルスイッチを発見できたことが挙げられます。Petyaのペイロードははるかに巧妙ですが、WannaCryよりも金銭的な成功をもたらすかどうかは不明です。

これまでのところ明らかになっているのは次の2つです。1)セキュリティ対策が不十分な組織が多過ぎます。エクスプロイトが標的としている脆弱性が、何か月あるいは何年も前からパッチが公開されているものである場合、責任はユーザー自身にあります。今回の攻撃が主に標的としている脆弱性も、かなり前からパッチが公開されています。2)上記のような組織は、この種のエクスプロイトを検出できる適切なツールも導入していません。

次々に現れるランサムウェア

ランサムウェアは、驚くほど多くの亜種が出現したこともあり、この1年間で劇的に増加しています。フォーティネットは現在、いくつかの種類のランサムウェアを監視、追跡しています。

従来、ランサムウェアは標的型攻撃です。つまり、標的が事前に選ばれており、攻撃は特定の組織またはネットワークを狙うように設計されています。その場合、データなどの重要なリソースは暗号化され、復号鍵を提供する代金として身代金が要求されます。

また、DoSベースのランサムウェアの出現も確認されています。この種のランサムウェアには複数の形態があります。まず、DoS攻撃の目的は、標的となった組織のサービスに膨大な負荷を加え、顧客およびユーザーが利用できないようにすることです。そして、DoS攻撃を停止する代わりに身代金を支払うよう要求します。

昨年の8月と9月に実行されたMirai攻撃は、数十万台の感染したIoTデバイスが悪用された過去最大規模のDoS攻撃でした。最近では、Miraiに似たIoTベースの新しいボットネットHajimeが、感染したDVR(デジタルビデオレコーダー)デバイスを使用して大規模なDDoS攻撃を標的組織に仕掛け、攻撃を停止して欲しければ身代金を支払うよう要求しました。Hajimeは次世代型のIoTエクスプロイトです。プラットフォームに依存せず(現在5つの異なるプラットフォームに対応しています)、タスクが自動化されたツールキットを搭載し、動的で更新可能なパスワードリストが組み込まれています。また、人間の動作を模倣する機能があるため、検出され難くなっています。

注目すべきは、RaaS(サービスとしてのランサムウェア)が開発されたことで、技術スキルの低い攻撃者であっても、開発者に利益の一部を渡すだけで、ランサムウェア技術を利用して独自の身代金要求型攻撃を開始できるようになった点です。フォーティネットはつい先日、これまで攻撃者に狙われることがほとんどなかったmacOSを標的とした世界初のRaaSランサムウェアを発見しました。しかし、Macユーザーには多くのエンジニアと企業の幹部が含まれているため、そうしたデバイスを標的にした攻撃の発生は驚くべきことではありません。

現在発見されているエクスプロイトは、さまざまなランサムウェア攻撃に追加される2つのエクスプロイトです。WannaCryが流行した際には、拡散を高速化し、攻撃の規模と範囲を拡大することを目的にランサムウェアとワームが組み合わされた攻撃が初めて確認されました。そして今回のPetyaでは、身代金を支払わなかった場合の損害を大きくする目的で、マスターブートレコードまでもが標的になっています。これまでは個人のファイルを失うだけでしたが(しかもファイルはバックアップが可能でしたが)、Petyaではデバイスそのものが使用できなくなる可能性があります。

フォーティネットによる保護

AVシグネチャ:

W32/Petya.EOB!tr
W32/Agent.YXH!tr
その他のシグネチャについては調査中です。

IPSシグネチャ:

MS.Office.RTF.File.OLE.autolink.Code.Execution
作成日 2017年4月13日
最終更新日 2017年6月19日
MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution
作成日 2017年3月14日
最終更新日 2017年6月5日

また、フォーティネットのWannaCry IPSルールは、上記の脆弱性を標的としたエクスプロイトを阻止すると考えられます。フォーティネットのチームが現在この主張を検証しています。

サンドボックス検出:

フォーティネットのサンドボックス(FortiSandbox)はこの攻撃を検出出来ます。

TOR通信:

アプリケーションコントロールシグネチャを介してTOR通信をブロックします。

Petyaに対するマイクロソフトの重要アップデート

PetyaおよびWannaCryについての詳細


Mac OSユーザーの多くの方が、自分のコンピュータはランサムウェアなどの攻撃を受けることがなく、「安全に利用できる」と信じています。確かに、マルウェアによる攻撃を受けて感染する可能性は、Mac OSユーザーの方がWindowsユーザーよりも低くなっています。しかし、これはオペレーティングシステムにおける脆弱性レベルとはまったく別の話です。Mac OSユーザーが感染する確率が低いのは、パーソナルコンピュータの90%以上がMicrosoft Windowsで動作しており、Apple社のMac OSのシェアはわずか約6%であることが大きな理由です。

Windows:91.64%, Mac OS:6.34%, Linux:1.99%
図1:デスクトップOSの市場シェア(参考資料:NetMarketShare

MacRansomのポータル

最近、FortiGuard Labsでは、TORネットワークでホスティングされているWebポータルを使用したサービスとしてのランサムウェア(Ransomware-as-a-Service、RaaS)を検出しました。RaaSの脅威は最近多く見られるようになっています。興味深いことに、この攻撃では、サイバー犯罪者はWindows以外のオペレーティングシステムを標的にしています。これは、Mac OSを標的とした初のRaaSかもしれません。


図2:MacRansomのTORポータル

このMacRansomのマルウェアは、ポータルから簡単には入手できません。ランサムウェアを作成するためには、作成者に直接コンタクトする必要があります。最初は、ランサムウェアのサンプルがありませんでしたので単なる詐欺だと思っていましたが、確認のためにこの作成者へ電子メールを送信したところ、意外にも返信がありました。


図3:About Us

最初の電子メールでは、攻撃を受けたユーザーが支払うビットコインの額、ランサムウェアが動作を開始する日時、USBドライブをMacに接続した時に実行されるかどうかなど、この作成者が私たちの要件として示している事項について問い合わせました。

午前11時(GMT+8時間)頃に電子メールを送信し、最初に応答があったのはその日の午後9時頃でした。

応答1:(午後9時)

6月1日を動作開始日とすることに同意し、私のビットコインのアドレスを伝えると、作成者は嬉しそうにサンプルを送ってきました。

応答2:(午前11時)

作成者による返信が迅速であったため、ランサムウェアについてさらに詳しく聞いてみることにしました。

応答3:(午前12時)

応答があった時刻から考えて、作成者と私たちのタイムゾーンは異なる可能性があります。返信があったのは夜遅くでしたが、作成者のタイムゾーンでは午前中だったかもしれません。また、最初の返答で、この作成者は「あなたの現地時間で6月1日深夜」という表現を使っていました。つまり、私たちが電子メールを送信した時に、時差について認識していた可能性があります。

このマルウェアの作成者の地理的な場所を確認するために、元のSTMPヘッダーを調査したところ、GMT-4時間のタイムゾーンで活動していることが分かりました。


図4:SMTPヘッダー

挙動の分析

次に、私たちはマルウェア自体の検証を開始しました。以下は、このランサムウェアの作成者が公表している特徴です。コードを確認して、これらの特徴が本当であるかどうかを確認することにしました。


図5:MacRansomの特徴

MacRansomのサンプルを実行してみると、このプログラムの開発者は不明であるというメッセージが表示されました。つまり、開発者が不明の不審なファイルを開くことがない限り、ユーザーが攻撃を受けることはありません。[Open(開く)]をクリックすると、ランサムウェアの実行が許可されます。

分析への対策

ランサムウェアは最初に、サンプルがMac以外の環境で実行されているかどうか、またはデバッグされていないかどうかを確認します。これらの条件を満たしていない場合、ランサムウェアは動作を終了します。

このランサムウェアは、ptraceを呼び出し(つまり引数PT_DENY_ATTACHを使用してプロセストレースコマンドを実行し)、ランサムウェアがデバッガーに渡されていないかどうかを確認します。


図6:Ptraceコマンド

次に、sysctl hw.modelコマンドを使用してマシンのモデルをチェックし、「Mac」という文字列と比較します。


図7:モデルのチェック

最後に、マシンにCPUが2つ搭載されているかどうかをチェックします。


図8:論理CPUのチェック

実行拠点

最初期のチェックをパスすると、ランサムウェアは~/LaunchAgent/com.apple.finder.plistに実行拠点を作成します。悪意のある挙動を検出されにくくするため、このファイルはMac OSの正規のファイル名を意図的に模倣します。この実行拠点を確立すると、MacRansomはMacが起動するときに毎回実行されるようになり、指定された時間に確実に暗号化できるようになります。

com.apple.finderのコンテンツ:

元の実行可能ファイルは、次に、~/Library/.FS_Storeにコピーされます。このファイル名も、正規のファイルに非常に似せています。ファイルがコピーされた後に、ファイルのタイムスタンプは、touch -ct 201606071012 '%s'コマンドを使用して変更されます。タイムスタンプの操作は、通常、デジタルフォレンジック調査の担当者を混乱させる目的で使用されます。

ランサムウェアは、次に、launchctlを使用して、作成したcom.apple.finder.plistをロードします。

暗号化

先に説明したように、暗号化が実行される時刻は作成者によって設定されます。今回のケースでは、2017年6月1日の午前12時に実行されるように設定されていました。日付がこれより前であれば、ランサムウェアは終了します。


図9:実行時刻のチェック

実行時刻が条件を満たしていれば、ランサムウェアは、次のコマンドを使用して、標的とするファイルの列挙を開始します。これは、ランサムウェアがファイルを列挙する方法としては珍しいものですが、ほとんどのランサムウェアがディレクトリをトラバースし、暗号化する対象のファイルの拡張子のリストを追加するため、これも有効な方法の1つです。

%sは、ランサムウェアのファイルパスです。


図10:ファイルの列挙

このランサムウェアは、上記のコマンドで返された最大128個のファイルのみを暗号化します。

暗号化を行う他のランサムウェアと同じように、私たちは、分析の多くの時間を中核のコンポーネントである暗号化アルゴリズムに費やしました。その狙いは、RSA暗号ルーチンを見つけることでしたが、この暗号化ランサムウェアは、これまでに見つかっているOSXを標的とする暗号化ランサムウェアほど高度ではありません。攻撃を受けたユーザーのファイルを人質にするために、ハードコードされたキーによる対称暗号化を利用しています。ランサムウェアによって使用される対称キーのセットは、次の2つです。

  • ReadmeKey:0x3127DE5F0F9BA796
  • TargetFileKey:0x39A622DDB50B49E9

ReadmeKeyは、ランサムウェアに関する説明と操作指示が記載された._README_ファイルの復号に使用され、TargetFileKeyは、攻撃を受けたユーザーのファイルの暗号化と復号に使用されます。

暗号化と復号のアルゴリズムをリバースエンジニアリングして分かった注目すべき点は、TargetFileKeyがランダムに生成された数で変更されることです。つまり、このマルウェアの実行が終了すると、暗号化されたファイルを復号化することはできなくなります。TargetFileKeyはプログラムのメモリから解放されてしまうため、暗号化されたファイルを復元するための復号プログラムや復元ツールを作成することがさらに難しくなります。さらに、TargetFileKeyについてC&Cサーバーと通信する機能はありません。つまり、ファイルを復号するためのキーのコピーは簡単には入手できません。ただし、それでも技術的にTargetFileKeyを復元することは可能です。有効な手法の1つは、ブルートフォース攻撃を使用することです。ファイルのコンテンツを予測できる既知のファイルを暗号化するために同じキーが使用されている場合、8バイト長のキーに対してブルートフォース攻撃を実行しても、最新のCPUを使用するとその処理に長時間かかることはないはずです。

しかし、図12の「ランサムウェアの説明」に記載されているように、攻撃を受けたユーザーがこの作成者に不明なファイルをランダムに送信しても、人質となったファイルを復号できるという作成者の主張は疑わしいと私たちは考えています。

暗号化プロセスの擬似コードは以下のとおりです。


図11:暗号化ルーチン

標的のファイルを正常に暗号化したら、ランサムウェアは、com.apple.finder.plistと元の実行ファイルの両方を暗号化します。タイムスタンプを変更してから、削除します。ランサムウェアの痕跡を取得するために復元ツールを使用しても、ファイルをほとんど意味をなさないものにするために、作成者はこの処理を行っています。

ランサムウェアは、0.25ビットコイン(約700ドル)を要求します。攻撃を受けたユーザーは、復号する場合にgetwindows@protonmail.comに連絡する必要があります。


図12:ランサムウェアの説明

結論

Mac OSプラットフォームを標的とする新しいランサムウェアは、毎日登場しているわけではありません。Windowsを標的とする最新のランサムウェアと比較してその機能がはるかに劣っていても、攻撃を受けたユーザーのファイルは暗号化され、重要なファイルにアクセスできなくなります。

-= FortiGuard Lion Team =-

最後に重要なことを説明しますが、過去のOSXランサムウェアと似たコードと設計思想が多く見られていることから、このMacRansomの亜種は、模倣犯によって生成されている可能性があります。これは、以前のOSXランサムウェアとは異なる分析対策のための手法が採用されていますが、これは多くのマルウェアの作成者によって広く取り入れられているありふれた手法です。MacRansomは、さまざまなOSプラットフォームでランサムウェアの脅威が拡散していることを示す1つの例です。ランサムウェアを完全に防止する術はありません。しかし、重要なファイルを定期的にバックアップしたり、不明なソースや開発者のファイルを開くときに注意したりすることで、その影響を最小限にすることができます。

-= FortiGuard Lion Team =-

付録

  • サンプル:
    a729d54da58ca605411d39bf5598a60d2de0657c81df971daab5def90444bcc3 - Zip
    OSX/MacRansom.A!trとして検出
    617f7301fd67e8b5d8ad42d4e94e02cb313fe5ad51770ef93323c6115e52fe98 - Mach-O file
  • ドロップされるファイル:
    ~/LaunchAgent/com.apple.finder.plist
    ~/Library/.FS_Store
  • MacRansomポータルのFAQ:

WannaCryはどのようにして拡散するのでしょうか?

WannaCryの拡散方法は複数あります。まず第一に、Shadow Brokersの名称で知られるハッカーグループが去る3月に公開し、数週間のあいだにマイクロソフトのWindowsを実行するコンピュータ数千台を感染させた、Backdoor.Double.Pulsarを使用した拡散が挙げられます。DoublePulsarはカーネルモードで実行されるため、ハッカーは感染したコンピュータに対する高度な制御が可能になります。

FortiGuard

Double.Pulsarがインストールされていることを感知すると、WannaCryマルウェアはこの手法を利用してペイロードのダウンロードと実行を試みます。興味深いことに、当社で分析した例においては、DoublePulsarを無効化するフラグが使用されていないケースが発見されています。

DoublePulsarが使用できない場合、WannaCryはNSAエクスプロイトのETERNALBLUEに関連するマイクロソフトの脆弱性を悪用し、SMB(Service Message Block)プロトコルを介して拡散します。マイクロソフトは、サポート対象のすべてのWindows用にこの脆弱性を解消するパッチを2017年3月に公開しており、2017年5月12日(金)にはすでに公式サポートが終了しているWindows XPとWindows 2003向けにも追加でパッチを公開しました。

マルウェアが標的となったシステムへの侵入に成功すると、WannaCryは内部ネットワークで拡散を試みるとともに、TCP139ポートおよび445ポートでSMBを介してインターネット上のランダムなホストへも接続しようとします。

企業への主要な感染経路のひとつとして、ESTEEMAUDITと呼ばれるRDP(Remote Desktop Protocol:リモートデスクトッププロトコル)ベースのエクスプロイトが使用されたという話もあります。お使いの環境を正しく理解することが重要です。

DoublePulsarに関して興味深い観測結果はありますか?

フォーティネットは、去る4月27日に約6,000件のDoublePulsarのエクスプロイトやプローブの試みを検知しており、翌28日の検知件数は約16,000に上りました。DoublePulsarは数週間にわたって密かにインストールされたとみられています。これによって数万台ものコンピュータのバックドアが開いた状態となり、その後WannaCryの主要な感染経路として利用されました。フォーティネットは、WannaCryによる攻撃の数日前にDoublePulsarの活動が急速に増えたことを確認しています。これは、攻撃の足場を攻撃者が綿密に調査していたことを意味していると考えられます。この事実がWannaCryのキャンペーンと関連があると断言するに足る証拠は存在しませんが、非常に興味深い観測だったと言えます。

TCP139ポート、TCP445ポート、そしてRDPをブロックすれば問題ありませんか?

これらをブロックすることでマルウェアによるシステムの感染を防ぐことは確かですが、多くのWindowsアプリケーションもこれらのポートを必要とする場合があることを留意して下さい。単純にポートをブロックするだけでは、重要なビジネストラフィックにも影響を与えることがあります。最善の対策は、マイクロソフト提供のパッチMS17-010を適用することです。

マイクロソフトのパッチを適用しても、WannaCryに対する脆弱性は残りますか?

いいえ。マイクロソフトのパッチMS17-010を適用したシステムは、システムに感染しようとするマルウェアに対する脆弱性はありません。

SMBバージョン1を無効化するとどうなりますか?

このマルウェアは、SMBバージョン1を介してのみ拡散すると考えられています。しかしながら、SMBの後発バージョンにはバージョン1との後方互換性を備えているものがあるため、パッチを適用しない場合にはシステムが脆弱な状態が続く可能性があります。

今回の攻撃は、わずか48時間のうちに100か国を超える国々の200,000以上のシステムに対して行われたことから、「大規模」で「最も広範囲に拡散した」ランサムウェア攻撃だと多くの人々が説明しています。この数値は、ランサムウェアの拡散スピードとしては桁外れの速さだったのでしょうか? あるいは、そのワーム的な振る舞い、イギリスの国民保険サービスに対して大きな被害を及ぼしたこと、当初はマイクロソフトがパッチを提供していなかったWindow XPの脆弱性を利用した攻撃だったことなど、たまたまあるランサムウェアに関係していた他の理由に関係があるのでしょうか?

実際の感染規模という観点だけでなく、このランサムウェアが(ユーザーのインタラクションなしに)拡散した経路やスピードが注目に値すると説明する研究者もいるでしょう。しかしながら、私たちは類似の感染規模や拡散特性の攻撃を、CryptoLocker/CryptoWallなどですでに経験しています。このケースでは、100万台近くのデバイスが最終的に感染しましたが、悪意を持って意図的に拡散されました。

これはゼロデイ攻撃ですか?

このマルウェアは、技術的な意味では既知の脆弱性を悪用するものであるため、ゼロデイ攻撃ではありません。

このマルウェアのコードが、継ぎ足し開発の可能なモジュール型であることから、亜種の作成は容易ではないですか?

コードは、大半の人々がモジュール型だと考える形式で作成されています。しかしながら、それが理由で亜種による攻撃が広範囲に拡散したということはありません。昨今の攻撃の多くは、同様のモジュール型のアプローチで開発されています。こういった攻撃を阻止するためには、複数の段階でそのような攻撃を検知して感染を防止することのできる、包括的なセキュリティソリューションの導入が必要です。

新たに登場した亜種はありますか?

類似のマルウェアのサンプルを研究者が特定していますが、その多くは5月11日からその週末に渡って多くのシステムに被害を与えたWannaCryマルウェアを単に編集しただけのものだと判明しています。このような編集バージョンの多くは、バイナリエディターを使った簡単な変更のみが行われており、一般的に亜種の作成で必要となるコードの再コンパイルは行われていません。例えば、VirusTotalにアップロードされたサンプルは、ドメイン名が別のものに変更されただけのものでした。

WannaCryはTORを使用しますか?

このマルウェアパッケージには、WannaCrypt0rという名前のセグメントが含まれています。このセグメントにより、 https://dist[.]torproject.org/torbrowser/6.5.1/tor-win32- 0.2.9.10[.]zip からTORクライアントがダウンロードされ、被害を受けたシステムのTaskDataフォルダ内に解凍されます。このTORクライアントは、gx7ekbenv2riucmf[.]onion、57g7spgrzlojinas[.]onion、xxlvbrloxvriy2c5[.]onion、76jdd2ir2embyv47[.]onion、そしてcwwnhwhlz52maqm7[.]onionにあるランサムウェアのC&Cサーバーとの通信に使用されます。

フォーティネットのサンドボックスは、シグネチャの公開前にこのマルウェアを検知できたのでしょうか? 新しい亜種の場合はどうですか?

はい。フォーティネットの製品担当チームは、FortiSandboxによって、このマルウェアだけでなく未知のバージョンや編集されたバーションに至るまで、その振る舞いだけで検知できたことを確認しています。さらに、このマルウェアの新たな改変バージョンが頻繁に登場していることもわかっています。今日まで、フォーティネット製品の保護機能により、そのような新しい編集バージョンの振る舞いだけでそれらはすべて検知されています。

WannaCryの感染は、フィッシング詐欺のキャンペーンを通じて始まったのですか?

WannaCryは、元々フィッシング詐欺のEメールを通じて始まったという説がありますが、この説を裏付ける証拠はこれまでのところ見つかっていません。どのようにWannaCryの感染が始まったのか、その確かな答えは見つかっていませんが、US-CERTはWindows XP / Windows Server 2003のRDPに対するESTEEMAUDITエクスプロイトが利用された可能性があるとの見解を示しています。

ちょっと待って下さい、WannaCryがまずどのように企業や組織に感染したかはわかっていないのではないですか?

現時点では確実な答えはわかっていませんし、結論を出すには時期尚早です。企業組織の多くは、システムの復旧で手一杯の状態です。フォーティネットは、今回私たちが体験した攻撃は計画的な陰謀の結果だとは考えていません。恐らく、今後数日から数週間の間に、通常のインシデント対応とフォレンジック分析のプロセスを通じてさらに詳しい状況が明らかになるでしょう。

主要なランサムウェアファミリー(例えばLockyなど)に関していうと、そのインストールにはまず添付ファイルをクリックするなど、ユーザーによるアクションが必要になることが一般的です。このため、WannaCryに関して見受けられる大きな特徴の1つとして、ユーザーのアクションなしにインストールされることが挙げられるのではないでしょうか?

これまでのランサムウェア攻撃とは異なり、実際のWannaCryマルウェアはユーザーのアクションなしに拡散します。しかしながら、最初の感染経路については未だわかっていません。その感染経路や、どのようなインタラクションが必要なのか(もし必要な場合)、明らかになっていません。これは、最初の感染者/企業組織が誰だったのか、未だ不明であることが最大の理由です。

WannaCryと関連して解説に登場する「キルスイッチ」ドメインとは何ですか?

5月11日から週末にかけて攻撃を行ったWannaCryの亜種には、起動を開始すると特定のドメインへの接続をマルウェアに試みさせるコードが含まれており、このドメインに接続できると動作を停止します。このコードが発見されて以降、WannaCryと関連があることがわかったキルスイッチドメインは登録され、現在は研究者たちによってホスティングされています。フォーティネットは、このドメインを情報リサーチ用ドメインとして分類しています。

このキルスイッチドメインにアクセスすると、WannaCryは無効化されるのですか?

WannaCryマルウェアのオリジナルバージョンが関連付けられたキルスイッチドメインにアクセスできると、ファイルを暗号化する代わりにその活動を中止します。しかしながら、シンプルなバイナリエディターを使用してキルスイッチドメインへのアクセスが必要な箇所を削除したバージョンも存在することが明らかになっています。その結果、このキルスイッチは今後登場する亜種に対しての効力が失われてしまったと思われます。

キルスイッチドメインへのアクセスがブロックされた場合、あるいはインターネットへのアクセスにプロキシが使用されている場合はどうなりますか?

WannaCryのキルスイッチドメインへのアクセスが、セキュリティツールやその他のネットワーク設定によってブロックされた場合、マルウェアはファイルの暗号化を継続します。例えば、WannaCryはプロキシに対応していません。このため、インターヘットへの接続にプロキシが必要な場合、キルスイッチドメインへの通信(およびインターネットホストへの感染の試み)は失敗します。

Uiwixマルウェアに関する話を聞いたことがありますが、これはどのようなものでしょうか? また、フォーティネットはこのマルウェアの脅威からシステムを保護できますか?

Uiwixは、WannaCryの新種だと考えられており、同様にSMBの脆弱性を利用して攻撃を仕掛けます。その詳細は、こちらのページでお読みいただけます。

本ブログ執筆時点で、フォーティネットはこのマルウェア固有のサンプルを検査していないため、このマルウェアの脅威からシステムを保護できるか判断することは困難です。また、このマルウェアの分析用サンプルやハッシュ値の発見にも至っていません。研究パートナー各社、Cyber Threat Alliance、そして友人たちにも接触してみましたが、このマルウェアそしてハッシュ値とも、まだ私たちのいずれの監視チャネルにおいても発見されていません。

とは言えフォーティネットは、WannaCryのIPSシグネチャおよび当社のダイナミックAVシグネチャジェネレータによって、この脅威についても検知および防止が可能だと考えています。

Jaffマルウェアとは何ですか?

Jaffマルウェアは、WannaCryとほぼ同じ時期に登場したランサムウェアです。研究者の多くは、当初JaffおよびWannaCryはお互いの亜種だと考えており、同じマルウェアだという研究者もいました。Jaffは、主にスパムメールや他のスピアフィッシング型の攻撃を介して拡散しています。初期の報告では、このマルウェアはWannaCryと何らかの関連性があると言われていましたが、すでにそれは間違いだったことがわかっています。フォーティネットは、現在Jaffランサムウェアに対する保護機能を提供しています。

シグネチャにおいて、ブロック以外のアクションを行うよう設定されている時のデフォルトの振る舞いに気付きました。フォーティネットのQA(品質確認)プロセスが完了する前に、この設定を変更することはできますか?

フォーティネットは、モニターモードでシグネチャを公開する場合があり、続いてそのIPSルールによって誤検知やエラーが発生しないことを確認した後、設定をブロックに変更します。通常、シグネチャの適切なテストの終了後ブロックに設定されます。フォーティネットがデフォルトの振る舞いを変更する前に、シグネチャの振る舞いをご自分で変更したい場合は、お使いのFortiGateで次の手順に従って変更することができます。

  • [Security Profiles]、[Intrusion Prevention]へ移動します。
  • [Add Signature]をクリックして、シグネチャを名前で検索します。シグネチャが見つかったらそれを選択して、[Add Signature]ボタンをクリックします。
  • シグネチャが追加されたら、[Action]を右クリックしてデフォルトのアクションを変更します。
  • 追加のオプション[Logging Option]を右クリックして、ログ記録に関するデフォルトの振る舞いを変更することも可能です。

設定を任意で変更しない場合、充分なテストの終了後にFortiGuardサービスのアップデートを通じてルールは適切な設定へと自動的に変更されます。

WannaCryの制作や配備に関わった人についてわかったことはありますか?

これについては噂しかありません。フォーティネットのエンジニアは、ハッカーグループのKDMSの関与を指摘する文献を発見しています。詳細は、こちらのページをご参照下さい。

また、北朝鮮の関与を示す証拠も、Googleの研究者であるNeel Metha氏によって見つかっています。

旧型のFortiGate製品向けの防御ソリューションは提供されますか?

現在提供されているシグネチャは、FortiOS 4.xおよびFortiOS 5.x用のものです。拡張データベースが有効になっていることを確認して下さい。旧型のFortiGateデバイスでは、コマンド「diagnose ips global rule reload」を使用してIPSシグネチャのリロードが必要な場合もあります。 適切なシグネチャが見つからない場合は、フォーティネットのテクニカルアシスタントセンター(Fortinet TAC)までお問い合わせ下さい。

被害者は身代金を支払っているのでしょうか?

関連するビットコインウォレットのアドレスに対する監視によると、被害者は実際に身代金を支払っていることがわかっています。

身代金の支払後、被害者はファイルを取り戻すことができているのでしょうか?

暗号化されたファイルの復号キーを入手できた被害者も存在することを報告するレポートがあります。しかしながら、身代金の支払いによってファイルの復旧が保証されているわけではなく、ファイルが再度暗号化される可能性も否定できません。身代金を支払ったにもかかわらず、ファイルを取り戻せなかったと主張する被害者も存在します。ファイル復旧に関して実装されているプロセスは手動によるもので、スケーリングしません。

ビットコインウォレットのアドレスは何ですか?

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

リモート環境で仕事をする従業員の場合、このマルウェアからの保護対策として使用すべき最善のフォーティネット製品は何ですか?

FortiClientです。

フォーティネットの保護対策はどのようなものですか?

フォーティネットは包括的なアプローチを採用しており、セキュリティソリューションと他のベンダーのセキュリティ製品を、単一の一体型フレームワークとして知られているフォーティネット セキュリティ ファブリックに統合しています。このセキュリティ ファブリックにより、ランサムウェアの攻撃経路として最も多く使用されるフィッシングメールをはじめ、脅威のあらゆる攻撃経路においてランサムウェアの攻撃に対する保護を実現します。

フォーティネットのソリューション:

未知のランサムウェアを検知し、特定する
FortiSandboxおよびその他の先進の脅威検知テクノロジーによって、新たなランサムウェアとその亜種をすべて検知することができるため、保護対策の改善に必要となる実用的なインテリジェンスが作成されます。
これまで見たことのないランサムウェアの攻撃を阻止するために重要なのは、セキュリティ ファブリック内のローカルに存在する検知用と防御用コンポーネントの間で、実用的な脅威インテリジェンスが自動共有されることです。異なる企業や組織を網羅する減災対策は、FortiGuardのグローバルインテリジェンスによって実現し、Cyber Threat Alliance initiativeを通じて一般社会に広く提供されます。
今日のランサムウェアをブロックする
ネットワーク、エンドポイント、アプリケーション、データセンター、アクセスポイントを網羅するフォーティネットのセキュリティソリューション導入することで、企業組織へのあらゆる入口で、最新のものを含めたすべての既知のマルウェアの攻撃を阻止することができます。フォーティネットのセキュリティソリューションは、すべてFortiGuardのグローバルな脅威インテリジェンスサービスを活用しています。
フォーティネットのAVエンジンにより、 WannaCryマルウェアの既知のバージョンすべての攻撃に対する保護が実現します。フォーティネットのAVエンジンは、以下をはじめとする製品にインストールされています。
  • FortiGate
  • FortiSandboxアプライアンス
  • FortiSandbox Cloud
  • FortiMail
  • FortiClient
  • FortiWeb
フォーティネットは、このマルウェアによって使用される技術に対する保護を実現するIPSシグネチャを提供しています。すべてのシグネチャを確実に「DROP」に設定するために、別途構成が必要になる場合があります。フォーティネットのIPSシグネチャは、以下をはじめとする製品で利用可能です。
  • FortiGate
フォーティネットのIPレピュテーションとWebフィルタリングにより、C&Cサーバーへの通信がブロックされます。フォーティネットのWebフィルタリングとIPレピュテーションサービスは、以下をはじめとする製品で利用可能です。
  • FortiGate
  • FortiClient
  • FortiSandboxアプライアンス
  • FortiSandbox Cloud
  • FortiMail
  • FortiWeb
アプリケーション制御シグネチャは、TORプロトコルをブロックすることができます。この機能を有効にするには、別途構成が必要です。フォーティネットのTORアプリケーション制御機能は、以下をはじめとする製品で利用可能です。
  • ForitGate
フォーティネットは、ネットワーク内で侵害を受けたシステムの感染や、関連の悪意のある通信を検知することのできる製品を多数提供しています。これらのデバイスは、インシデント対応においても効果を発揮します。
  • FortiSIEM
  • FortiAnalyzer
  • FortiCloud
データセグメンテーションおよび内部セグメンテーションファイアウォール
このFAQですでに概要を説明した手法に加えて、セキュリティのベストプラクティスの一環として、このランサムウェアが備えているワームのような振る舞いによってネットワーク内で感染が拡散することのないように、ネットワークのセグメント化が適切に行われていることを確認してください。
データのセグメンテーション、バックアップ、そして復旧に関する戦略は、ディザスタリカバリや監査などの多くのシナリオと同様に、ランサムウェアをはじめとするセキュリティへの脅威に関心の高い企業や組織に欠かすことのできないものです。
FortiGate内部セグメンテーションファイアウォールをネットワークに導入することで、セキュリティは飛躍的に向上し、内部に脅威が侵入してもその拡散を阻止することができます。ISFWは、境界内部でネットワークをセグメント化します。重要な知的財産が保存されている特定のサーバー、あるいはクラウドに配備されているユーザーデバイスやWebアプリケーションの前に配備が可能です。
  • フォーティネットのISFW(内部セグメンテーションファイアウォール)


FortiGuard Labs

フォーティネット社グローバルセキュリティストラテジスト、Derek Mankyのブログ―大局的な視点からとらえた今回のWannaCry攻撃とは―これは台風の目に過ぎないのでしょうか?

WannaCryによる脆弱性を利用した攻撃は世界的なニュースとなりましたが、すでに沈静化してしまったように見受けられます。すでに最悪の時期は過ぎたのでしょうか、あるいは台風の目に過ぎないのでしょうか?

多くの理由から、私は今回のWannaCry危機はすでに終息したと考えています。すべてのエクスプロイトキットには活動のピークがあります。サイバー犯罪者による不意打ち的な意外性はすでに失われていることから、この脆弱性(SMB CVE 2017-0144)の大部分は最も危険な状態を過ぎたと考えています。また、関係各国の捜査機関、CERT、そしてCyber Threat Allianceのメンバーによるグローバルな連携も大きな役割を果たしました。

WannaCry攻撃に続いてAdylkuzzなどによる新たな攻撃の波が押し寄せようとしているとの話もあります。

誰にも知られずに動作するボットネットは、対策の整ったものと比較して甚大な被害を及ぼすことが多く、またその検知もさらに困難です。不意打ちで大規模な攻撃が発生すると、すべての人々は次の攻撃への準備を始めます。企業や組織の大半は、そのような攻撃を防ぐ対策をすでに整えており、WannaCry攻撃や類似のエクスプロイトによる被害が繰り返されないように厳戒態勢を敷いています。グローバルな通信サービスプロバイダ各社は、SMBエクスプロイトのさらなる拡散を防ごうとして445番ポートのブロックもすでに開始しています。これにより、Adylkuzzなどによる攻撃にも対応できるようになります。前述した、そしてそれらに似た理由で、模倣的な攻撃の威力は今のところ著しく弱まっていると私は考えています。

また、Adylkuzzのような別の攻撃が他ならぬこのエクスプロイトを使って大規模な感染を引き起こすことが可能になる兆候は、現在のところ見つかっていません。しかしながら、マルウェアの作成者たちがAdylkuzzの攻撃を成功させる別の方法を見つけ出すことはできないと断言するわけではありません。

参照している指標は何ですか?

世界中に数百万ものセキュリティセンサーを設置しているFortiGuard Labs脅威研究チームは、グローバルな脅威ランドスケープの動向を常に把握しています。例えば、FortiGuardのデータでは、企業や組織が警戒を緩めたタイミングを攻撃者がとらえた時に、多くのエクスプロイトや攻撃の試みが爆発的に増加することが示されています(SMBの脆弱性CVE-2017-0144に対する攻撃が340%上昇した時にはDoublePulsarが使われてWannaCryが拡散しました)。それ以降、攻撃活動は大きく確実に減少しています。

今回の攻撃は金曜日と土曜日にピークを迎え、日曜日には44%も減少したことをフォーティネットでは確認しています。それ以降、エクスプロイト活動は日々半減を続けてきました。グローバルな攻撃件数は、ピークを境に現在では53%減少しています。一日当たりの件数は6桁から5桁へと減少しており、この傾向は今後も続くことが予想されています。これは、概して脆弱性のあるシステムの大半がすでに被害を受けてしまった、あるいは防御対策が完了したことが理由です。

結果として、WannaCry(そしてAdyllKuzz)の攻撃対象は著しく縮小しました。この事実は、類似の攻撃がすでにレースに乗り遅れたことを意味しています。意外性はすでに失われていることに加え、検知機能や対抗手段も配備済みであることから、ゆっくりとした着実な攻撃では最早このレースに勝つことはできません。

では、多くのニュースで報じられているように、WannaCry攻撃は非常に成功したエクスプロイトだったのでしょうか?

これは、成功の尺度によって判断が異なります。WannaCryは、ゼロデイ攻撃ではない攻撃であっても非常に成功する可能性があることを示しました。しかしながら、身代金を奪うキャンペーンとしての観点では失敗に終わっています(攻撃者のビットコインウォレットの分析では、支払われた身代金は少なかったことがわかっています)。WannaCryはインパクトの強い素早い攻撃でしたが、これまでで最も大規模なボットネットでは決してありません。

ランサムウェアのボットという観点で言えば、Cyber Threat Allianceは2015年にCryptoWall v3によって400,000件を超えるランサムウェア攻撃が試みられたことを観測しています。これは、WannaCryに関して言われている件数のほぼ2倍の規模です。また、サイレントなトロイの木馬/ボットネットに関しては、感染数ベース(Mariposaボットネット)で1,500万件を超える被害をフォーティネットは確認しています。

このような大規模なボットネットは、独自の攻撃手段を使ってボットネットを拡散しているブラックハットグループのメンバーたちが提供する、CaaS(Crime-as-a-service:サービスとしての犯罪)によって盛んに増幅されるため、より広範な対象を攻撃します。

WannaCry攻撃がほぼ沈静化したのであれば、次に差し迫っている脅威はどのようなものでしょうか?

ShadowBrokerのエクスプロイトキットに重点を置くと、サイバー犯罪者集団のブラックハットグループが、今後有効だと思われるまだ注目されていない新たなエクスプロイトを、ダークネットのあらゆる場所で探していると考えられます。彼らが目論んでいるのは、不意打ち的な意外性のある攻撃を再度仕掛けることです。当社の2017年の脅威予測説明しているように、私たちは世界最大規模のボットネットの攻撃を受ける可能性があり、ピーク時には1,500万件を上回る感染の被害が発生すると予想されます。これは、IoTの脆弱性を利用した攻撃によって引き起こされる可能性が極めて高く、IoTデバイス、サービス、重要なデータ、他の知的財産などが奪われる結果になるでしょう。データの収集、標的型攻撃 、そしてさらに難解な他の脅威など、犯罪活動は今後も続くとフォーティネットは考えています。