2017年5月20日土曜日

【世界ランサムウェアショック!】サイバー攻撃の総括と進化するマルウェア解析

身代金要求型マルウェア・ランサムウェアの世界規模でのサイバー攻撃についての総括

【世界100カ国で7万5000件超のサイバー攻撃】英国病院で大規模被害・日本も

ランサムウェアとは?

【ロンドン=岡部伸】英国各地の国営病院で2017512日、国営医療制度、国民保健サービス(NHS)関連施設のITシステムに大規模なサイバー攻撃があり、多数の病院で障害が発生、手術などの医療サービスが中断するなどの被害が続出。ロイター通信は、同様のサイバー攻撃がロシアを中心に欧州やアジアなど約100カ国で起き、攻撃件数は5万7千件に上ると伝えた。悪性のソフトウエアを用いた攻撃とみられ、被害はさらに拡大する見通し。
 英国ではイングランドとスコットランドなどで医療機関のIT(情報技術)システムが停止。一部の病院では手術を中止したり、診察予約をキャンセルしたりするなど医療サービス提供が困難となり、救急患者は別の病院に搬送された。イングランドでは「重大事故」が宣言され、英政府のサイバー犯罪対策を担う「サイバーセキュリティーセンター」が調査を進めている。
 メイ首相は、「NHSを標的としたものではない。世界規模のサイバー攻撃だ」と述べた。一方、患者のデータが不正アクセスされた証拠はないと強調した。
 またスペインでも、通信最大手テレフォニカの社内システムが攻撃を受けた。顧客への通信サービスの提供には影響は出ていないという。


 ロイター通信によると、攻撃は、コンピューターをロックし、解除する代わりに仮想通貨「ビットコイン」で300ドル(約3万4千円)から600ドル(約6万8千円)を支払うよう求める表示が出ており、「ランサムウエア」(身代金要求型ウイルス)とみられる。英BBC放送は、2017年4月に米国家安全保障局(NSA)が開発したとみられる悪性ソフトを公開したハッカー集団「シャドー・ブローカーズ」が関与しているとの見方を報じた。
 同通信によると、サイバー攻撃は、ロシアのサイバー・セキュリティーのソフトウエア会社の「カスペルスキ ラブ」が74カ国、で4万5千件と指摘。また別のソフトウエア会社「アバスト」は被害は99カ国に広がり、主要な攻撃目標はロシア、ウクライナ、台湾だとしている。
 また米紙ニューヨーク・タイムズ(電子版)は欧州や日本のほかロシアやトルコ、ベトナム、フィリピン、中国、米国、イタリア74カ国で起き、被害は4万5千件に上ると報じた。

 米CNNテレビなど欧米メディアは20175月12日、情報セキュリティー会社の話として、大規模なサイバー攻撃が同日、欧州や日本を含むアジアなど99カ国で確認され、計7万5千件に上ったと報じた。

【世界約100カ国でサイバー攻撃7万5千件】英日産、病院など影響・近年最大被害の可能性

最終工程でチェックを受ける乗用車=2014年6月、英北部サンダーランドの日産自動車工(ロイター)

【ロンドン=岡部伸】大規模なサイバー攻撃が20175月12日、世界各地で一斉に発生したことが確認された。攻撃により、英国の日産自動車の現地工場で生産に影響が発生。フランスでは自動車大手ルノーも製造を一部停止した。攻撃はロシアや中国を含む約100カ国で起きており、件数は7万5千件に達するとみられ、近年では最大規模の被害が出る可能性がある。
 情報セキュリティー企業トレンドマイクロとカスペルスキーによると、日本への攻撃も確認されたといい、警察庁は被害について各都道府県警を通じて確認を進めている。
 米IT大手マイクロソフトの基本ソフト「ウィンドウズ」のセキュリティー上の欠陥が悪用された。攻撃について、米国家安全保障局(NSA)が情報収集のため開発した技術をハッカー集団「シャドー・ブローカーズ」が悪用しているとの見方が出ている。マイクロソフトはウィンドウズを保護するため防御措置を講じたとの声明を出した。
 英国では国民保健サービス(NHS)の情報システムに障害が発生。一部病院で医療サービスの提供が困難となり、手術が中止となったり、救急患者が別の病院に搬送されたりした。英政府のサイバー犯罪対策を担う「サイバーセキュリティーセンター」が調査を進めている。
 AP通信によると、ロシアでは内務省のコンピューター約千台が攻撃を受け、政府の捜査機関や大手携帯電話会社にも被害が出た。米運送大手フェデックスにも同様の攻撃があったほか、スペインでも通信最大手テレフォニカの社内システムが被害を受けた。
 攻撃はコンピューターをロックし、解除のために仮想通貨「ビットコイン」を300ドル(約3万4千円)から600ドル(約6万8千円)支払うよう求める表示が出ており、「ランサムウエア」(身代金要求型ウイルス)とみられる。

 英BBC放送(電子版)によると、情報セキュリティー会社「アバスト」は被害は99カ国、7万5千件に広がったと指摘している。

過去に行われた攻撃で使われたマルウェアのコードの類似性から攻撃元の特定が進んでいる。特に攻撃元の団体の違いに注目しましょう。

「ランサムウェア」攻撃に北朝鮮関与の疑いも
BBC News
デイブ・リー北米テクノロジー担当記者
2017512日から世界中に広がったサイバー攻撃は、誰が関与しているのか。現時点での推理は北朝鮮の可能性を示唆しているが、決定的な情報を得ているとはまったく言い難い。
「ラザラス・グループ」の名前は聞いたことがないかもしれない。けれども、その仕事ぶりは耳にしているかもしれない。2014年にソニー・ピクチャーズ・エンタテインメント、2016年にはバングラデシュの銀行に、それぞれ深刻なハッキング被害を与えたのが、高度な技術をもつこの「ラザルス・グループ」だと言われている。
そしてラザラス・グループは、中国国内で活動するものの、指示しているのは北朝鮮だと広く考えられているのだ。
コンピューター・セキュリティーの専門家たちは現在、512日からの世界的サイバー攻撃にもしかするとラザルス・グループが関わっているかもしれないと、慎重ながら可能性を検討し始めている。グーグル社のセキュリティー研究者、ニール・メータ氏が、今回の攻撃に使われたWannaCry」というマルウェア(悪意あるソフトウェア)のコンピューター・コードと、ラザラス・グループが過去に作りだしたとされる他のツールのコードとの間に、類似性を見つけたのがきっかけだった。
証拠としてはわずかな断片にすぎない。しかしほかにも検討すべき手がかりはある。
英サリー大学のセキュリティー専門家、アラン・ウッドワード教授は私にメールで、最初のWannaCryのコードはタイムスタンプが「UTC +9、つまり協定世界時より9時間早い中国の時間帯に設定されていたと指摘した。また、ウィルスに感染したコンピューターのロックを解除してもらいたければ「身代金」を払えと要求する文言が、英語は機械翻訳した英語のようだが、中国語の部分は明らかに中国語を母語とする人間が書いたものに見えるという。
「つまり、かなり覚束ないし、いずれも状況証拠だが、引き続き調べる価値はある」と教授は書いた。
コードを分析
調査はすでに始まっている。
WannaCryの出所について、ニール・メータの発見は今のところ最も重要な手がかりだ」と、ロシアのセキュリティー企業カスペルスキーは評価する。ただし、結論を出すまでには、WannaCryの初期バージョンについてさらに情報が必要だという。
「世界中の研究者が、コードの類似性を調べて、WannaCryの出所に関する情報をもっと探り当てるのが大事だ」と同社は付け足した。
「バングラデシュの攻撃を振り返ると、最初の間はラザルス・グループとのつながりを示す情報はほとんどなかった。次第に証拠が増えて、関係していると自信を持って言えるようになった。点と点をつなぐには、調査継続が何より大事だということもある」
サイバー攻撃の発信元を特定するのは、非常に困難なことで有名だ。確認が取れるというより、大勢がそうに違いないと合意したから、おそらくそうなのだろう――という結論で落ち着く場合が多い。
たとえば、ソニー・ピクチャーズのハッキングについて、北朝鮮は一切関与を認めていない。米政府やセキュリティー研究者は、北朝鮮犯人説に自信を持っているが、間違いだった可能性は排除できない。
有能なハッカーが似たようなテクニックを使って、北朝鮮を発信元のようにみせかけただけということもあり得るのだ。
「現状では証拠として不十分」
WannaCryの場合、ラザラス・グループが攻撃に使ったコードをハッカーたちがコピーしただけという可能性もある。
しかしカスペルスキー社は、WannaCryの中にわざと偽装情報を埋め込んでいたという説は「可能」だが、「あり得ない」とみている。共通する問題のコードは、WannaCryの修正版からは削除されていたからだ。
「もしも、という仮説要素が非常に多い」とウッドワード教授は言う。「現状では証拠として不十分だ。しかしさらに深掘りしていく価値はある。北朝鮮の可能性が指摘されるなか、北朝鮮だと思いたい確証バイアスが働く危険を意識しつつだが」
現時点ではWannaCryの出所に関する最強の仮説だが、その一方で、北朝鮮ではないと示唆する詳細データもある。
第一に、中国も大打撃を受けた国のひとつだったことが挙げられる。しかも偶然にではない。ハッカーたちは身代金要求の中国語版を着実に用意していたのだ。北朝鮮が最大支援国の中国をわざわざ怒らせようとするとは考えにくい。ロシアも、ひどい被害を受けた。
第二に、北朝鮮のサイバー攻撃は従来、政治的意図をもって特定の標的を攻撃してきた。
ソニー・ピクチャーズの場合、金正恩氏を笑い者にした米映画「ザ・インタビュー」の公開阻止が攻撃のねらいだった。対照的にWannaCryの攻撃はとてつもなく無差別で、感染できるものはなんでも感染させた。
最後に、もしサイバー攻撃が単に身代金目当てのものだったなら、その点でも実に不首尾に終わっている。支払方法として指定された仮想通貨ビットコインのアカウントを分析すると、身代金として支払われた金額は約6万ドル(約680万円)にとどまっている。
20万台以上のコンピューターが感染したことを思うと、かなりひどい利益率だ。とはいえもちろん、身代金要求というのは目くらましで、まだ明らかになっていない別の政治的な目的があるのかもしれない。
ラザラス・グループは北朝鮮から別に指示を受けていない、単独犯だという可能性もある。ラザラス・グループは北朝鮮と何の関係もないという可能性さえ、あり得る。
答えよりも疑問の方が多い。そしてサイバー戦争において、事実は非常に手に入りにくいものなのだ。

ランサムウェアに注意!


《維新嵐》サイバー攻撃の攻撃元を特定する分析が着々と進行しています。マルウェアのコードを過去に使われたものと比較して「類似性」から特定していく、ということは、かなりの注意力と解析能力が必要でしょう。まさに暗号を解読するようなものです。このあたりは、SIGINT的な情報解析手段といえるでしょう。サイバー攻撃の攻撃元の特定は、確かに十分特定できているといえません。まさに「疑わしきは罰せよ。」の方針で見込みで「反撃」していますから、「冤罪」を生み出していることもあるかもしれません。コードの比較、解析による攻撃元の特定作業は、個人的にも注目しています。





0 件のコメント:

コメントを投稿