WannaCry 2017 年 5 月 21 日 マクニカネットワークス株式会社 本資料は 2017 年 5 月 21 日現在の情報を基に作成しております
WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗号化し 復号鍵を提供する代わりに金銭を要求します システムの起動に必要なデータハードディスクに保存されているファイルアクセス可能なネットワークシステム上のファイル WannaCryに感染すると Microsoft Officeファイル 画像ファイル データベースファイル プログラムのソースコード 仮想環境の仮想ディスクといった170 種類以上にも及ぶファイルタイプのデータが暗号化されてしまいます 暗号化 利用可能 利用不能 2
WannaCry がなぜ騒がれるのか 1 自己増殖能力 自己増殖能力を持つマルウェアをワームと呼びます 2000 年初頭ではCode RedやNimdaと呼ばれるワームが拡散し 大きな問題になりましたが 最近では自分で感染拡大を図るワームは減っている状況にありました WannaCryは Windowsファイル共有 (SMB v1) の仕組みの脆弱性を突き ワームのように感染の拡大を図ります 2 感染速度の早さ WannaCryは ある端末に感染すると同時に すぐに他の端末への感染拡大活動を始めます 感染拡大活動は 同じネットワーク内の端末だけでなく ランダムに生成されたIPアドレスに対しても行われるため サブネットやインターネットを超えて被害が拡大します 3
WannaCry がなぜ騒がれるのか (cont d) 3NSA から漏洩した仕組みが使われている 感染拡大のときに使用されるWindowsファイル共有の脆弱性 (MS17-010) を突く手法は NSA( 米国国家安全保障局 ) が開発した後に内部犯行によって外部に持ち出され Shadow Brokersによってインターネット上で広く公開されてしまったと言われています MS17-010の脆弱性を突いて任意の命令を実行する機能を EternalBlue EternalBlueを用いて仕掛けられしまうバックドアを DoublePulsar と呼びます DoublePulsarは メモリ内でカーネルモードで動作します WannaCryでは NSAが開発したEternalBlueとDoublePulsarを組み合わせたフレームワークをそのまま流用しており EternalBlueの攻撃に成功した端末は DoublePulsarのバックドアも仕掛けられてしまいます WannaCry に感染した端末で DoublePulsar が動作していることを確認マクニカネットワークスセキュリティ研究センターブログより http://blog.macnica.net/blog/2017/05/wanacry-8ff1.html 4
WannaCry がなぜ騒がれるのか (cont d) 4Kill Switch が用意されている Kill Switchとは 活動を停止させるために設けられているスイッチのことを指します 今回のケースでは WannaCryの活動を停止することができるURLのことを指しています WannaCryでは 通常のマルウェアではあまり見られない 以下のような振る舞いを持ちます WannaCry 内部にハードコードされたURLにアクセスを試みる通信に成功した場合 :WannaCryは活動を停止する通信に失敗した場合 :WannaCryはその後の処理( ファイル暗号化等 ) を継続する WannaCry 拡散開始当時は 上述したURLは実在しておらず 通信は必ず失敗 (WannaCryはその後の処理を継続 ) していました この一見無意味とも思える動作は どのようなURLでも回答を返す仕様のサンドボックスによる解析を回避するためのものだと考えられています 現在は あるセキュリティリサーチャーがこのドメインを購入し 通信が成功する (WannaCryは活動を停止する ) ようになっております ただし WannaCryの通信はProxyやネットワーク分離環境を超えることができないため このような機器をお使いの環境では Kill Switchによって活動を停止することができません (Kill Switchが用意されるマルウェアは極めて稀であるため 今回のケースを受けて Proxyやネットワーク分離をやめる必要がございません ) 5
感染経路と感染する可能性のある端末 感染経路 Windowsの Microsoft Server Message Block 1.0 (SMBv1) が持つ脆弱性を突くことによって感染します Webやメールから感染したという具体的な事例は報告されていないため 脆弱性を持つSMBv1に対する攻撃でのみで拡散していると考えられます SMBv1が利用するポート (TCP:137-139 445) がインターネット側に公開されている場合 社外の感染端末からの自己増殖活動により 感染に至る可能性があります 一旦社内に感染端末が発生すると 同一サブネット内のIPアドレスに対して自己増殖活動を行いますので さらに感染が拡大する可能性があります 感染する可能性のある端末 MS17-010 の修正パッチが適用されていない以下の OS で 感染の可能性があります Windows XP / Windows Vista / Windows 7 / Windows 8 / Windows 8.1 今回の攻撃コードはWindows 10には無効です Windows Server 2003 / Windows Server 2008 / Windows Server 2008 R2 / Windows Server 2012 / Windows Server 2012 R2 / Windows Server 2016 6
WannaCry の感染経路と動作 感染端末 外部からの感染活動 MS17-010 未適用サーバ 感染拡大活動 MS17-010 未適用端末 1 7 2 6 感染端末内の活動 5 3 4 外部サーバ (Kill Switch) 外部サーバ (C&C) 1EternalBlue を用いて MS17-010 の脆弱性を突き BASE64 で暗号化した WannaCry のドロッパを送り込みます 再度 EternalBlue を用いて DoublePulsar を動作させます 2DoublePulsar を介して WannaCry を実行します 3 攻撃者が事前にハードコードした URL(WannaCry 登場当時は存在しない URL) への接続確認を行います 通信に成功すれば WannaCry の動作は終了しますが 通信に失敗すれば以降の動作に進みます 4 被害者が身代金を払い 復号鍵を攻撃者から入手するために必要な経路を Tor ブラウザを介して確立します 5 端末内に保存されているファイルおよびマウントされているネットワークドライブ上のファイルを暗号化します また システムの復元に用いられるボリュームシャドウコピーも削除します 6 同じサブネット内の若い IP アドレスから順に EternalBlue を用いた感染拡大を行います またランダムの IP アドレスに対する感染拡大も同時に行います 76 で仕掛けられた DoublePulsar を介して WannaCry を実行します 7
本資料に記載されている会社名 商品 サービス名等は各社の登録商標または商標です なお 本資料中では は明記しておりません 本資料は 出典元が記載されている資料 画像等を除き 弊社が著作権を有しています 著作権法上認められた 私的利用のための複製 や 引用 などの場合を除き 本資料の全部または一部について 無断で複製 転用等することを禁じます 本資料は作成日現在における情報を元に作成されておりますが その正確性 完全性を保証するものではありません Copyright Copyright 2004-2017 Macnica Networks Corp. All All Rights Reserved. 8