大局的な視点:WannaCry攻撃の余波

FortiGuard Labs

フォーティネット社グローバルセキュリティストラテジスト、Derek Mankyのブログ―大局的な視点からとらえた今回のWannaCry攻撃とは―これは台風の目に過ぎないのでしょうか?

WannaCryによる脆弱性を利用した攻撃は世界的なニュースとなりましたが、すでに沈静化してしまったように見受けられます。すでに最悪の時期は過ぎたのでしょうか、あるいは台風の目に過ぎないのでしょうか?

多くの理由から、私は今回のWannaCry危機はすでに終息したと考えています。すべてのエクスプロイトキットには活動のピークがあります。サイバー犯罪者による不意打ち的な意外性はすでに失われていることから、この脆弱性(SMB CVE 2017-0144)の大部分は最も危険な状態を過ぎたと考えています。また、関係各国の捜査機関、CERT、そしてCyber Threat Allianceのメンバーによるグローバルな連携も大きな役割を果たしました。

WannaCry攻撃に続いてAdylkuzzなどによる新たな攻撃の波が押し寄せようとしているとの話もあります。

誰にも知られずに動作するボットネットは、対策の整ったものと比較して甚大な被害を及ぼすことが多く、またその検知もさらに困難です。不意打ちで大規模な攻撃が発生すると、すべての人々は次の攻撃への準備を始めます。企業や組織の大半は、そのような攻撃を防ぐ対策をすでに整えており、WannaCry攻撃や類似のエクスプロイトによる被害が繰り返されないように厳戒態勢を敷いています。グローバルな通信サービスプロバイダ各社は、SMBエクスプロイトのさらなる拡散を防ごうとして445番ポートのブロックもすでに開始しています。これにより、Adylkuzzなどによる攻撃にも対応できるようになります。前述した、そしてそれらに似た理由で、模倣的な攻撃の威力は今のところ著しく弱まっていると私は考えています。

また、Adylkuzzのような別の攻撃が他ならぬこのエクスプロイトを使って大規模な感染を引き起こすことが可能になる兆候は、現在のところ見つかっていません。しかしながら、マルウェアの作成者たちがAdylkuzzの攻撃を成功させる別の方法を見つけ出すことはできないと断言するわけではありません。

参照している指標は何ですか?

世界中に数百万ものセキュリティセンサーを設置しているFortiGuard Labs脅威研究チームは、グローバルな脅威ランドスケープの動向を常に把握しています。例えば、FortiGuardのデータでは、企業や組織が警戒を緩めたタイミングを攻撃者がとらえた時に、多くのエクスプロイトや攻撃の試みが爆発的に増加することが示されています(SMBの脆弱性CVE-2017-0144に対する攻撃が340%上昇した時にはDoublePulsarが使われてWannaCryが拡散しました)。それ以降、攻撃活動は大きく確実に減少しています。

今回の攻撃は金曜日と土曜日にピークを迎え、日曜日には44%も減少したことをフォーティネットでは確認しています。それ以降、エクスプロイト活動は日々半減を続けてきました。グローバルな攻撃件数は、ピークを境に現在では53%減少しています。一日当たりの件数は6桁から5桁へと減少しており、この傾向は今後も続くことが予想されています。これは、概して脆弱性のあるシステムの大半がすでに被害を受けてしまった、あるいは防御対策が完了したことが理由です。

結果として、WannaCry(そしてAdyllKuzz)の攻撃対象は著しく縮小しました。この事実は、類似の攻撃がすでにレースに乗り遅れたことを意味しています。意外性はすでに失われていることに加え、検知機能や対抗手段も配備済みであることから、ゆっくりとした着実な攻撃では最早このレースに勝つことはできません。

では、多くのニュースで報じられているように、WannaCry攻撃は非常に成功したエクスプロイトだったのでしょうか?

これは、成功の尺度によって判断が異なります。WannaCryは、ゼロデイ攻撃ではない攻撃であっても非常に成功する可能性があることを示しました。しかしながら、身代金を奪うキャンペーンとしての観点では失敗に終わっています(攻撃者のビットコインウォレットの分析では、支払われた身代金は少なかったことがわかっています)。WannaCryはインパクトの強い素早い攻撃でしたが、これまでで最も大規模なボットネットでは決してありません。

ランサムウェアのボットという観点で言えば、Cyber Threat Allianceは2015年にCryptoWall v3によって400,000件を超えるランサムウェア攻撃が試みられたことを観測しています。これは、WannaCryに関して言われている件数のほぼ2倍の規模です。また、サイレントなトロイの木馬/ボットネットに関しては、感染数ベース(Mariposaボットネット)で1,500万件を超える被害をフォーティネットは確認しています。

このような大規模なボットネットは、独自の攻撃手段を使ってボットネットを拡散しているブラックハットグループのメンバーたちが提供する、CaaS(Crime-as-a-service:サービスとしての犯罪)によって盛んに増幅されるため、より広範な対象を攻撃します。

WannaCry攻撃がほぼ沈静化したのであれば、次に差し迫っている脅威はどのようなものでしょうか?

ShadowBrokerのエクスプロイトキットに重点を置くと、サイバー犯罪者集団のブラックハットグループが、今後有効だと思われるまだ注目されていない新たなエクスプロイトを、ダークネットのあらゆる場所で探していると考えられます。彼らが目論んでいるのは、不意打ち的な意外性のある攻撃を再度仕掛けることです。当社の2017年の脅威予測説明しているように、私たちは世界最大規模のボットネットの攻撃を受ける可能性があり、ピーク時には1,500万件を上回る感染の被害が発生すると予想されます。これは、IoTの脆弱性を利用した攻撃によって引き起こされる可能性が極めて高く、IoTデバイス、サービス、重要なデータ、他の知的財産などが奪われる結果になるでしょう。データの収集、標的型攻撃 、そしてさらに難解な他の脅威など、犯罪活動は今後も続くとフォーティネットは考えています。