WannaCryに関するFAQ - 考慮すべきポイントと覚えておくべきこと

• 米国時間2017年5月17日に掲載されたフォーティネットセキュリティブログの抄訳です。
  執筆者：Aamir Lakhani
  2017年5月22日

WannaCryはどのようにして拡散するのでしょうか?

WannaCryの拡散方法は複数あります。まず第一に、Shadow Brokersの名称で知られるハッカーグループが去る3月に公開し、数週間のあいだにマイクロソフトのWindowsを実行するコンピュータ数千台を感染させた、Backdoor.Double.Pulsarを使用した拡散が挙げられます。DoublePulsarはカーネルモードで実行されるため、ハッカーは感染したコンピュータに対する高度な制御が可能になります。

Double.Pulsarがインストールされていることを感知すると、WannaCryマルウェアはこの手法を利用してペイロードのダウンロードと実行を試みます。興味深いことに、当社で分析した例においては、DoublePulsarを無効化するフラグが使用されていないケースが発見されています。

DoublePulsarが使用できない場合、WannaCryはNSAエクスプロイトのETERNALBLUEに関連するマイクロソフトの脆弱性を悪用し、SMB（Service Message Block）プロトコルを介して拡散します。マイクロソフトは、サポート対象のすべてのWindows用にこの脆弱性を解消するパッチを2017年3月に公開しており、2017年5月12日（金）にはすでに公式サポートが終了しているWindows XPとWindows 2003向けにも追加でパッチを公開しました。

マルウェアが標的となったシステムへの侵入に成功すると、WannaCryは内部ネットワークで拡散を試みるとともに、TCP139ポートおよび445ポートでSMBを介してインターネット上のランダムなホストへも接続しようとします。

企業への主要な感染経路のひとつとして、ESTEEMAUDITと呼ばれるRDP（Remote Desktop Protocol：リモートデスクトッププロトコル）ベースのエクスプロイトが使用されたという話もあります。お使いの環境を正しく理解することが重要です。

DoublePulsarに関して興味深い観測結果はありますか?

フォーティネットは、去る4月27日に約6,000件のDoublePulsarのエクスプロイトやプローブの試みを検知しており、翌28日の検知件数は約16,000に上りました。DoublePulsarは数週間にわたって密かにインストールされたとみられています。これによって数万台ものコンピュータのバックドアが開いた状態となり、その後WannaCryの主要な感染経路として利用されました。フォーティネットは、WannaCryによる攻撃の数日前にDoublePulsarの活動が急速に増えたことを確認しています。これは、攻撃の足場を攻撃者が綿密に調査していたことを意味していると考えられます。この事実がWannaCryのキャンペーンと関連があると断言するに足る証拠は存在しませんが、非常に興味深い観測だったと言えます。

TCP139ポート、TCP445ポート、そしてRDPをブロックすれば問題ありませんか?

これらをブロックすることでマルウェアによるシステムの感染を防ぐことは確かですが、多くのWindowsアプリケーションもこれらのポートを必要とする場合があることを留意して下さい。単純にポートをブロックするだけでは、重要なビジネストラフィックにも影響を与えることがあります。最善の対策は、マイクロソフト提供のパッチMS17-010を適用することです。

マイクロソフトのパッチを適用しても、WannaCryに対する脆弱性は残りますか?

いいえ。マイクロソフトのパッチMS17-010を適用したシステムは、システムに感染しようとするマルウェアに対する脆弱性はありません。

SMBバージョン1を無効化するとどうなりますか?

このマルウェアは、SMBバージョン1を介してのみ拡散すると考えられています。しかしながら、SMBの後発バージョンにはバージョン1との後方互換性を備えているものがあるため、パッチを適用しない場合にはシステムが脆弱な状態が続く可能性があります。

今回の攻撃は、わずか48時間のうちに100か国を超える国々の200,000以上のシステムに対して行われたことから、「大規模」で「最も広範囲に拡散した」ランサムウェア攻撃だと多くの人々が説明しています。この数値は、ランサムウェアの拡散スピードとしては桁外れの速さだったのでしょうか? あるいは、そのワーム的な振る舞い、イギリスの国民保険サービスに対して大きな被害を及ぼしたこと、当初はマイクロソフトがパッチを提供していなかったWindow XPの脆弱性を利用した攻撃だったことなど、たまたまあるランサムウェアに関係していた他の理由に関係があるのでしょうか?

実際の感染規模という観点だけでなく、このランサムウェアが（ユーザーのインタラクションなしに）拡散した経路やスピードが注目に値すると説明する研究者もいるでしょう。しかしながら、私たちは類似の感染規模や拡散特性の攻撃を、CryptoLocker/CryptoWallなどですでに経験しています。このケースでは、100万台近くのデバイスが最終的に感染しましたが、悪意を持って意図的に拡散されました。

これはゼロデイ攻撃ですか?

このマルウェアは、技術的な意味では既知の脆弱性を悪用するものであるため、ゼロデイ攻撃ではありません。

このマルウェアのコードが、継ぎ足し開発の可能なモジュール型であることから、亜種の作成は容易ではないですか?

コードは、大半の人々がモジュール型だと考える形式で作成されています。しかしながら、それが理由で亜種による攻撃が広範囲に拡散したということはありません。昨今の攻撃の多くは、同様のモジュール型のアプローチで開発されています。こういった攻撃を阻止するためには、複数の段階でそのような攻撃を検知して感染を防止することのできる、包括的なセキュリティソリューションの導入が必要です。

新たに登場した亜種はありますか?

類似のマルウェアのサンプルを研究者が特定していますが、その多くは5月11日からその週末に渡って多くのシステムに被害を与えたWannaCryマルウェアを単に編集しただけのものだと判明しています。このような編集バージョンの多くは、バイナリエディターを使った簡単な変更のみが行われており、一般的に亜種の作成で必要となるコードの再コンパイルは行われていません。例えば、VirusTotalにアップロードされたサンプルは、ドメイン名が別のものに変更されただけのものでした。

WannaCryはTORを使用しますか?

このマルウェアパッケージには、WannaCrypt0rという名前のセグメントが含まれています。このセグメントにより、 https://dist[.]torproject.org/torbrowser/6.5.1/tor-win32- 0.2.9.10[.]zip からTORクライアントがダウンロードされ、被害を受けたシステムのTaskDataフォルダ内に解凍されます。このTORクライアントは、gx7ekbenv2riucmf[.]onion、57g7spgrzlojinas[.]onion、xxlvbrloxvriy2c5[.]onion、76jdd2ir2embyv47[.]onion、そしてcwwnhwhlz52maqm7[.]onionにあるランサムウェアのC&Cサーバーとの通信に使用されます。

フォーティネットのサンドボックスは、シグネチャの公開前にこのマルウェアを検知できたのでしょうか? 新しい亜種の場合はどうですか?

はい。フォーティネットの製品担当チームは、FortiSandboxによって、このマルウェアだけでなく未知のバージョンや編集されたバーションに至るまで、その振る舞いだけで検知できたことを確認しています。さらに、このマルウェアの新たな改変バージョンが頻繁に登場していることもわかっています。今日まで、フォーティネット製品の保護機能により、そのような新しい編集バージョンの振る舞いだけでそれらはすべて検知されています。

WannaCryの感染は、フィッシング詐欺のキャンペーンを通じて始まったのですか?

WannaCryは、元々フィッシング詐欺のEメールを通じて始まったという説がありますが、この説を裏付ける証拠はこれまでのところ見つかっていません。どのようにWannaCryの感染が始まったのか、その確かな答えは見つかっていませんが、US-CERTはWindows XP / Windows Server 2003のRDPに対するESTEEMAUDITエクスプロイトが利用された可能性があるとの見解を示しています。

ちょっと待って下さい、WannaCryがまずどのように企業や組織に感染したかはわかっていないのではないですか?

現時点では確実な答えはわかっていませんし、結論を出すには時期尚早です。企業組織の多くは、システムの復旧で手一杯の状態です。フォーティネットは、今回私たちが体験した攻撃は計画的な陰謀の結果だとは考えていません。恐らく、今後数日から数週間の間に、通常のインシデント対応とフォレンジック分析のプロセスを通じてさらに詳しい状況が明らかになるでしょう。

主要なランサムウェアファミリー（例えばLockyなど）に関していうと、そのインストールにはまず添付ファイルをクリックするなど、ユーザーによるアクションが必要になることが一般的です。このため、WannaCryに関して見受けられる大きな特徴の1つとして、ユーザーのアクションなしにインストールされることが挙げられるのではないでしょうか?

これまでのランサムウェア攻撃とは異なり、実際のWannaCryマルウェアはユーザーのアクションなしに拡散します。しかしながら、最初の感染経路については未だわかっていません。その感染経路や、どのようなインタラクションが必要なのか（もし必要な場合）、明らかになっていません。これは、最初の感染者/企業組織が誰だったのか、未だ不明であることが最大の理由です。

WannaCryと関連して解説に登場する「キルスイッチ」ドメインとは何ですか?

5月11日から週末にかけて攻撃を行ったWannaCryの亜種には、起動を開始すると特定のドメインへの接続をマルウェアに試みさせるコードが含まれており、このドメインに接続できると動作を停止します。このコードが発見されて以降、WannaCryと関連があることがわかったキルスイッチドメインは登録され、現在は研究者たちによってホスティングされています。フォーティネットは、このドメインを情報リサーチ用ドメインとして分類しています。

このキルスイッチドメインにアクセスすると、WannaCryは無効化されるのですか?

WannaCryマルウェアのオリジナルバージョンが関連付けられたキルスイッチドメインにアクセスできると、ファイルを暗号化する代わりにその活動を中止します。しかしながら、シンプルなバイナリエディターを使用してキルスイッチドメインへのアクセスが必要な箇所を削除したバージョンも存在することが明らかになっています。その結果、このキルスイッチは今後登場する亜種に対しての効力が失われてしまったと思われます。

キルスイッチドメインへのアクセスがブロックされた場合、あるいはインターネットへのアクセスにプロキシが使用されている場合はどうなりますか?

WannaCryのキルスイッチドメインへのアクセスが、セキュリティツールやその他のネットワーク設定によってブロックされた場合、マルウェアはファイルの暗号化を継続します。例えば、WannaCryはプロキシに対応していません。このため、インターヘットへの接続にプロキシが必要な場合、キルスイッチドメインへの通信（およびインターネットホストへの感染の試み）は失敗します。

Uiwixマルウェアに関する話を聞いたことがありますが、これはどのようなものでしょうか? また、フォーティネットはこのマルウェアの脅威からシステムを保護できますか?

Uiwixは、WannaCryの新種だと考えられており、同様にSMBの脆弱性を利用して攻撃を仕掛けます。その詳細は、こちらのページでお読みいただけます。

本ブログ執筆時点で、フォーティネットはこのマルウェア固有のサンプルを検査していないため、このマルウェアの脅威からシステムを保護できるか判断することは困難です。また、このマルウェアの分析用サンプルやハッシュ値の発見にも至っていません。研究パートナー各社、Cyber Threat Alliance、そして友人たちにも接触してみましたが、このマルウェアそしてハッシュ値とも、まだ私たちのいずれの監視チャネルにおいても発見されていません。

とは言えフォーティネットは、WannaCryのIPSシグネチャおよび当社のダイナミックAVシグネチャジェネレータによって、この脅威についても検知および防止が可能だと考えています。

Jaffマルウェアとは何ですか?

Jaffマルウェアは、WannaCryとほぼ同じ時期に登場したランサムウェアです。研究者の多くは、当初JaffおよびWannaCryはお互いの亜種だと考えており、同じマルウェアだという研究者もいました。Jaffは、主にスパムメールや他のスピアフィッシング型の攻撃を介して拡散しています。初期の報告では、このマルウェアはWannaCryと何らかの関連性があると言われていましたが、すでにそれは間違いだったことがわかっています。フォーティネットは、現在Jaffランサムウェアに対する保護機能を提供しています。

シグネチャにおいて、ブロック以外のアクションを行うよう設定されている時のデフォルトの振る舞いに気付きました。フォーティネットのQA（品質確認）プロセスが完了する前に、この設定を変更することはできますか?

フォーティネットは、モニターモードでシグネチャを公開する場合があり、続いてそのIPSルールによって誤検知やエラーが発生しないことを確認した後、設定をブロックに変更します。通常、シグネチャの適切なテストの終了後ブロックに設定されます。フォーティネットがデフォルトの振る舞いを変更する前に、シグネチャの振る舞いをご自分で変更したい場合は、お使いのFortiGateで次の手順に従って変更することができます。

• ［Security Profiles］、［Intrusion Prevention］へ移動します。
• ［Add Signature］をクリックして、シグネチャを名前で検索します。シグネチャが見つかったらそれを選択して、［Add Signature］ボタンをクリックします。
• シグネチャが追加されたら、［Action］を右クリックしてデフォルトのアクションを変更します。
• 追加のオプション［Logging Option］を右クリックして、ログ記録に関するデフォルトの振る舞いを変更することも可能です。

設定を任意で変更しない場合、充分なテストの終了後にFortiGuardサービスのアップデートを通じてルールは適切な設定へと自動的に変更されます。

WannaCryの制作や配備に関わった人についてわかったことはありますか?

これについては噂しかありません。フォーティネットのエンジニアは、ハッカーグループのKDMSの関与を指摘する文献を発見しています。詳細は、こちらのページをご参照下さい。

また、北朝鮮の関与を示す証拠も、Googleの研究者であるNeel Metha氏によって見つかっています。

旧型のFortiGate製品向けの防御ソリューションは提供されますか?

現在提供されているシグネチャは、FortiOS 4.xおよびFortiOS 5.x用のものです。拡張データベースが有効になっていることを確認して下さい。旧型のFortiGateデバイスでは、コマンド「diagnose ips global rule reload」を使用してIPSシグネチャのリロードが必要な場合もあります。 適切なシグネチャが見つからない場合は、フォーティネットのテクニカルアシスタントセンター（Fortinet TAC）までお問い合わせ下さい。

被害者は身代金を支払っているのでしょうか?

関連するビットコインウォレットのアドレスに対する監視によると、被害者は実際に身代金を支払っていることがわかっています。

身代金の支払後、被害者はファイルを取り戻すことができているのでしょうか?

暗号化されたファイルの復号キーを入手できた被害者も存在することを報告するレポートがあります。しかしながら、身代金の支払いによってファイルの復旧が保証されているわけではなく、ファイルが再度暗号化される可能性も否定できません。身代金を支払ったにもかかわらず、ファイルを取り戻せなかったと主張する被害者も存在します。ファイル復旧に関して実装されているプロセスは手動によるもので、スケーリングしません。

ビットコインウォレットのアドレスは何ですか?

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

リモート環境で仕事をする従業員の場合、このマルウェアからの保護対策として使用すべき最善のフォーティネット製品は何ですか?

FortiClientです。

フォーティネットの保護対策はどのようなものですか?

フォーティネットは包括的なアプローチを採用しており、セキュリティソリューションと他のベンダーのセキュリティ製品を、単一の一体型フレームワークとして知られているフォーティネット セキュリティ ファブリックに統合しています。このセキュリティ ファブリックにより、ランサムウェアの攻撃経路として最も多く使用されるフィッシングメールをはじめ、脅威のあらゆる攻撃経路においてランサムウェアの攻撃に対する保護を実現します。

フォーティネットのソリューション：

未知のランサムウェアを検知し、特定する

FortiSandboxおよびその他の先進の脅威検知テクノロジーによって、新たなランサムウェアとその亜種をすべて検知することができるため、保護対策の改善に必要となる実用的なインテリジェンスが作成されます。

これまで見たことのないランサムウェアの攻撃を阻止するために重要なのは、セキュリティ ファブリック内のローカルに存在する検知用と防御用コンポーネントの間で、実用的な脅威インテリジェンスが自動共有されることです。異なる企業や組織を網羅する減災対策は、FortiGuardのグローバルインテリジェンスによって実現し、Cyber Threat Alliance initiativeを通じて一般社会に広く提供されます。

今日のランサムウェアをブロックする

ネットワーク、エンドポイント、アプリケーション、データセンター、アクセスポイントを網羅するフォーティネットのセキュリティソリューション導入することで、企業組織へのあらゆる入口で、最新のものを含めたすべての既知のマルウェアの攻撃を阻止することができます。フォーティネットのセキュリティソリューションは、すべてFortiGuardのグローバルな脅威インテリジェンスサービスを活用しています。

フォーティネットのAVエンジンにより、 WannaCryマルウェアの既知のバージョンすべての攻撃に対する保護が実現します。フォーティネットのAVエンジンは、以下をはじめとする製品にインストールされています。

• FortiGate
• FortiSandboxアプライアンス
• FortiSandbox Cloud
• FortiMail
• FortiClient
• FortiWeb

フォーティネットは、このマルウェアによって使用される技術に対する保護を実現するIPSシグネチャを提供しています。すべてのシグネチャを確実に「DROP」に設定するために、別途構成が必要になる場合があります。フォーティネットのIPSシグネチャは、以下をはじめとする製品で利用可能です。

• FortiGate

フォーティネットのIPレピュテーションとWebフィルタリングにより、C&Cサーバーへの通信がブロックされます。フォーティネットのWebフィルタリングとIPレピュテーションサービスは、以下をはじめとする製品で利用可能です。

• FortiGate
• FortiClient
• FortiSandboxアプライアンス
• FortiSandbox Cloud
• FortiMail
• FortiWeb

アプリケーション制御シグネチャは、TORプロトコルをブロックすることができます。この機能を有効にするには、別途構成が必要です。フォーティネットのTORアプリケーション制御機能は、以下をはじめとする製品で利用可能です。

• ForitGate

フォーティネットは、ネットワーク内で侵害を受けたシステムの感染や、関連の悪意のある通信を検知することのできる製品を多数提供しています。これらのデバイスは、インシデント対応においても効果を発揮します。

• FortiSIEM
• FortiAnalyzer
• FortiCloud

データセグメンテーションおよび内部セグメンテーションファイアウォール

このFAQですでに概要を説明した手法に加えて、セキュリティのベストプラクティスの一環として、このランサムウェアが備えているワームのような振る舞いによってネットワーク内で感染が拡散することのないように、ネットワークのセグメント化が適切に行われていることを確認してください。

データのセグメンテーション、バックアップ、そして復旧に関する戦略は、ディザスタリカバリや監査などの多くのシナリオと同様に、ランサムウェアをはじめとするセキュリティへの脅威に関心の高い企業や組織に欠かすことのできないものです。

FortiGate内部セグメンテーションファイアウォールをネットワークに導入することで、セキュリティは飛躍的に向上し、内部に脅威が侵入してもその拡散を阻止することができます。ISFWは、境界内部でネットワークをセグメント化します。重要な知的財産が保存されている特定のサーバー、あるいはクラウドに配備されているユーザーデバイスやWebアプリケーションの前に配備が可能です。

• フォーティネットのISFW（内部セグメンテーションファイアウォール）