世界的な広がりを見せたランサムウエア「WannaCry」は、WindowsのSMB(Server Message Block)の脆弱性を利用して急速に拡大したとみられている。その対策としては、マイクロソフトが提供するセキュリティパッチの適用や、SMBに関連したポートを閉じることが必要とされている。

 だが問題はWannaCryだけにとどまらない。なぜなら、WannaCryが利用したとされている米NSA(国家安全保障局)製ツールによりバックドアを仕込まれると、別の攻撃を受ける恐れがあるためだ。

 本記事では、「EternalBlue」や「DoublePulsar」の名前で報じられる機会が増えているバックドアツールを実際に試してみた結果をレポートする。

4月から始まったバックドアツールによる攻撃

 5月15日、警察庁は「EternalBlue」などのツールを利用したアクセスが継続しているとの観測を発表した(写真1)。

写真1●警察庁が発表したアクセス数の推移
写真1●警察庁が発表したアクセス数の推移
(出所:警察庁)
[画像のクリックで拡大表示]

 こうしたアクセスが増えたのは、WannaCryによる被害が増えた5月12日よりも以前、The Shadow Brokersと称するグループが、NSAから流出したとされるツール群をGitHubに公開した4月14日以降となっている。宛先ポートが445/TCPとなっている点は、WindowsのSMBの脆弱性「MS17-010」を利用しているためだ。

 MS17-010は、TCPポート445番にリモートから送り込まれた任意のコードを、ユーザーの同意なくシステム権限で実行してしまう重大な脆弱性だ。EternalBlueはこの脆弱性を利用して、標的のPCにバックドアを仕掛けるツールである。

 さらにこのEternalBlueを開発したのがNSAとみられる点も議論を呼んでいる。NSAは脆弱性を知りながら公にせず、密かに「活用」してきた可能性が高いとされている。米マイクロソフトは「いわば、米軍のトマホークミサイルが盗まれたようなもの」とNSAを名指しで非難した。

 この対策としてマイクロソフトは、脆弱性を修正するセキュリティパッチを2017年3月に提供している。時系列で見ると、その約1カ月後にNSAのツールがGitHubに公開され、そこからさらに1カ月後にWannaCryが登場した形になる。サポートが提供されているOSを利用し、パッチを正しく適用していれば、WannaCryによる被害は防げたはずなのだ。