JNSA「セキュリティしんだん」
| « (25)腹が立つのもわかるけど - 脆弱性とセキュリティ対策再考 |
(26)WannaCry覆面座談会 〜何故、単なるワームがこれほど騒がれたのか〜(2017年9月15日)
2.WannaCryって結局何だったの?
【Eさん】 WannaCryにもいろいろあって、最初、今年の2月から4月くらいに蒔かれたやつはすぐには動かないので、標的型っぽい可能性があると言われています。一方、5月にニュースに出たやつはすぐ出ます。ほんの数分というところです。第3波は、「どこかから漏れたのか」と言われているやつで、感染はするけれど暗号化はしません。なので、感染したことに気付かないのですよ。マクドナルドが最初「WannaCryの可能性がある」と言ったので、「WannaCryだったら画面をみればわかるよね」と思ったのですけれど、この第3波であれば見た目には何も変わらないですよね。それを持ち帰ったら中で広がりますよね。こういう半端なやつがあります。僕が「首なし」と呼んでいるやつです。
【Bさん】 ワーム部分だけ?
【Eさん】 ワーム部分だけじゃないですね。暗号化のところが動かないようにパッチがあてられてるやつがあるんですよ。
【司会】 ものはあるけれど発動しない、それは意図的になんでしょうか。
【Eさん】 動かない、キルスイッチ[8]もきかない。ネットワークの輻輳が発生しやすくなる。
【メンバー】 でもそこまでできるということは、何らかの指令が出たら、動くんでしょうか。
【Eさん】 誰かが勝手に書き換えただけだと思いますよ。外から何かしようというのではなくて。
【Dさん】 あれってでも、Patient zeroっていうか、最初がどこかってわかってるんですかね。
【Cさん】 多分、わかってないと思いますね。
【Aさん】 マルウェアを作るなど、やっている行為は非常に高度なのだけれど、さっきのBさんの話みたいに、ビジネスは相当に素人のような気がする。
【Bさん】 もしかすると本当に売りたいのではないかもしれません。攻撃コード[9]には、マイクロソフトが今回のリークの1か月前にあたる3月14日のSecurity Bulletinで更新したWindowsを標的としたものが含まれています。だから「マイクロソフトは攻撃コードのリリースを事前に知らされていたのではないか」という疑惑がささやかれています。「なぜ2017年2月にアップデートがなかったか」という話がここでつながってくるわけですね。さらにEternal Blueというのが良く出てきますが、これはNSAが作ったツールと言われていて、リリースされてすぐに結構拡散したみたいです。
【Aさん】 Eternal Blueのもとになったものがあったんじゃないですか。
【Bさん】 Eternal Blueが盗み出されたツールと言われてます。
【Cさん】 WannaCryが押し込もうとするDoublepulsarというバックドアも、もう一つツールとしてそこから盗まれたのではないかと言われていますね。
【Aさん】 もともと仕込んでいたのではないかな。でないと一度にこんなにいかないような。
【Bさん】 ある人がささやいていたけれど、本当に速かった。
【Aさん】 あれだけの量をいきなりネットワーク上で探して、感染させるのは難しいのではないかと思います。それだけのパワーがないと。
【Cさん】 いや。でも同一の脆弱性が存在していれば、ネットワークのパワー的にはまったく問題ないので、可能性としてはこれからもできますね。ただし同一の脆弱性がたくさん存在していないとダメです。
【Aさん】 445番ポート[10]が開いていて。
【Cさん】 今回もそういう意味ではある程度の限定条件はあったのですけれど、ただshodanをみると445番ポートが空いているところはものすごい量があるし、SMBは結果として結構多く扱われていたということだから。
【Bさん】 どうして閉めておかないんですかね。あと、「誰が」と言う候補では、まずNSAのインサイダーではないか、というのが疑われています。あと、ロシア関係説というのがあって、スノーデンがコメントしてます。WikiLeaksでは「CIAの中でThe Equation Groupという存在が確認できるのか」という議論があったようなのですけれど、その議論がリークされています。ただ、ここで言っているのは、特定のグループではなく、ツールのコレクションを使っている人たちのことのようです。The Shadow Brokers関連の話題としては、シスコのAdoptive Security Applianceとフォーティネットのファイアウォールに対するゼロデイ攻撃[11]についても出てますね。
【Aさん】 2年くらい前に、「そんなところに穴があいたら防げない」と大騒ぎになったやつですね。
【Bさん】 こういう攻撃がどのくらい危ないかを皆さんがわかってくれない、というのも気になります。さっき言ったFlameが証明書を偽装する話ですけれど、Flameはイントラネットの中で1台感染すると、偽装した証明書で署名することで、windows updateを行うためのproxyを探すプロトコルを使ってイントラネット中に自分を配布するんです。イントラネットの中だけでしか使われないのだけれど、こうした機能を悪用されるということで大混乱になりました。本当に針の穴のような隙を突いているんです。たぶん、これは警告だったのではないですか。「我々はこういうことができるよ」というのを誰かに対して言いたかったのではないかととらえていますね。
今回の件、国レベルの話というとどこか夢物語的だけれど、実際には恐ろしいことなんです。マイクロソフトのBrad Smith社長が「トマホークミサイルが盗まれたようなもの」と言ってますけれど、トマホークミサイルの設計図を盗んでも誰も作れないでしょう、それがWannaCryの脆弱性は誰でも使えてしまいますからね。
【司会】 中学生や高校生だってできちゃうわけだものね。
【Aさん】 でもWannaCryは出来が悪いって、解析した人が言ってたのでしょう?
【Bさん】 ビットコインのアドレスが20くらい書いてあるのに、ひとつしか使えなかったりして、これはお金を儲けたいのではないんじゃないかと。
【司会】 いずれにしてもビジネスとしては成功していないですよね。
【Aさん】 あれだけの感染をさせるには、準備に時間をかけないと無理だなと思ったんですよ。だって、一晩でしょう。その割には行動がお粗末だと言われているし。
【Bさん】 たぶん目的が違うのだと。
【Dさん】 「あえて稚拙に作った部分と、巧妙に作った部分をまぜこぜにしているんじゃないか」って解析している方もいらっしゃいました。
【司会】 ランサムウェアで儲けようとしている人であれば、みんなが「金を払えばちゃんともとに戻るんだ」と思えるように、もう少しちゃんと作っておかないといけないはずなのに、そうじゃなかったということは、Bさんがおっしゃるとおり金儲け以外の目的があったと見る方が自然ですね。
【Bさん】 本当に儲ける気があるとは思えないんだよね。
【司会】 だから、ランサムウェア業界からしてみれば、なんてことをしてくれたのだと。
【Cさん】 ランサムウェア業界があるかどうかは別として、一部で「攻撃者と被害者の信頼関係で成り立っている」とか書いている人もいるけれど、そんなものはないです。脅かしているんです。それを信頼という言葉にしたくないですね。確かに経験上、お金を払ったら戻るというのが真理としてあるから払う可能性は高くなるけれど、それを攻撃者との信頼関係というのはちょっと違うかと。
【司会】 やっぱり、攻撃者は犯罪者ですからね。
【Bさん】 「国際的なサイバー演習だったんじゃないか」という人もいますね。
【司会】 誰かが誰かに対する警告だったんじゃないかと。
【Bさん】 情報共有というか、オペレーションができるかどうかの。
【司会】 今回の件で、他の感想はありませんか。
【Aさん】 なんで、この短期間にあれだけの感染数になったの、そこがよくわからない。
【Cさん】 さっき言ったように、同じ脆弱性を持っている潜在性のあるPCないしサーバーが全世界にいっぱいあったからですよ。条件が揃えばワームは強い。
【Aさん】 つまりその、ポートが開いていて、脆弱性があって、リモートで入れるぞ、という状況だとして、それをワームに仕込めば全自動で行くということ?
【Cさん】 ランサムウェアは全自動ではないです。ユーザにメールを送りつけて、そこから誘導するというユーザアクションが必要だから。こういう結果になったのはやはりワーム型だったから。攻撃者に手法の得意・不得意はありますけれど、そういう脆弱なところを見つけて一気呵成に責めてくるのかなと。
【Aさん】 あれって意図的なんですか。それとも結果的にああなったんですか。
【Cさん】 この件に関しては、さっきも演習という話も出てましたけれど、犯行した側の趣旨がわかってないんですよ。本当にランサムウェアなのであれば、企業向けにたくさんの暗号化をするような設定になっているにもかかわらず、要求金額が3万円でしょう? たいした金額じゃないから個人向けだよね、でも機能としては会社向けだよねって、ちぐはぐなんです。本当に目的がお金なのか、たまたまツールとしてランサムウェアを使っただけで、本当は単純にウクライナあたりを倒したいという狙いがあったのかが、今のところわかっていない。
【Bさん】 ウクライナだっていうのも気持ち悪いんだよね。
【メンバー】 日本はしぶきを受けただけかもしれないですね。
【Cさん】 WannaCryは自動生成でグローバルIP[12]をたたくので、どこを狙ったのかはわからないですね。その意図のわからないところが少し気持ち悪いけれども、ただ技術的にある程度対策していれば防げることでもあるので、ベンダとしてはそんなに危惧していないんですが、状況として浮き彫りになったのは、制御系とかにも結構入っているということですね。
【司会】 USBメモリで結局?
【Bさん】 あれね、「制御系はつながってない」って言う人がいっぱいいるけど、たぶん「専用線」という名前のイーサケーブルで、「ネットワーク通信制御装置」という名前のシスコの何かでできているんだよね。もはや価格が圧倒的に違うから、他のものを使うという選択肢がないはずなんですよ。
【Aさん】 そうですね。OSにしたってマイクロソフトかレッドハットしかないんですから。
【メンバー】 さっき、演習と言ったけれど、これは核実験みたいな話だったのかもしれないね。要するにどこらへんで、どのくらいのスピードで、どのくらい感染していくのか。そういう情報は、兵器を作っているところからしたら、すごく知りたいことだから。それで攻撃のポートがなくなっても、ほかにもあるんじゃないでしょうかね。
【Bさん】 あと、バックドア仕込んでいるかもしれないですよね。感染したら。
【メンバー】 なんで金曜日だったんでしょう?
【Cさん】 そう、そういうところもわからないのですよ。
【Aさん】 時間の問題もあるじゃないですか。ニュースになったのは土曜日の朝。やられたヨーロッパは何時頃だったの?
【メンバー】 向こうは金曜日の日中の時間帯。
【Cさん】 金曜日は狙い目なんだよ。土日が休みだから。日本も本気で狙われるとすれば金曜ですよ。
【Aさん】 こういう週末の攻撃が起きたとき、経営者にしてみれば、誰かに安心といってほしいわけですよ。そういうときに、これは放っておいても大丈夫とオレが言うと、まあ、安心してくれるというのはある。一方で、例えばStruts2はダメというわけです。すぐやれと。こういう違いはここで会話している人たち以外にはよくわからないだろうな、とは思うんですよね。
【Eさん】 あと、大丈夫と言ったものに対しては本当に大丈夫かもしれないけれど、同じタイミングで違うものがくる可能性がありますよね。そんなとき、こっち大丈夫だったけれども、といっても聞いてくれないと思うんですよね。今回のPetyaもそうじゃないですか。Petyaと同時にRokiっというものも出回っていて、情報が錯綜したんです。最初に出す第一報では「こうかも」というのでよいと思うんですけれど、その後更新していくことが大事ですよね。
- [8] キルスイッチ:
- 一般には緊急停止装置のことですが、ここではワームの活動を無効化する機能のことです。ワームの中には、無駄な感染を防いだり、見つかりにくくするために自らこうした機能を有しているものがあります。
- [9] 攻撃コード:
- 攻撃を行うための一連の操作が指定されたソフトウェアのことです。
- [10] ポート:
- コンピュータが通信を行うときの決まりごとのひとつで、やりとりするアプリケーションごとに異なるポートが使われるので、使って良いポートを限定することで、攻撃を受けにくくすることができます。
- [11] ゼロデイ攻撃:
- まだパッチが用意されていない脆弱性を使った攻撃のことです。脆弱性が公表されてから攻撃を受けるまでの期間が「実質0日」であることからこのような名前になっています。
- [12] グローバルIP:
- グローバルIPアドレスのことです。反対語が「ローカルIPアドレス」で、ローカルアドレスを使うと自組織の外へ通信を行うことができません。
| « (25)腹が立つのもわかるけど - 脆弱性とセキュリティ対策再考 |
