"WannaCry騒動"から見えてくる、セキュリティに対する"勘違い"と事後対応のポイント

WannaCry騒動の経緯から見えてくる、最低限のセキュリティ対策の重要性

昨今では頻繁にサイバー攻撃による被害が報じられ、公的機関やメディア、セキュリティ企業なども注意を呼びかけている。しかしながら、事後の対応を含めてセキュリティ対策を本当に実践的なものにするためには、そうした情報を精査する力も必要だ。

そこでマイナビニュースは3月16日(金)、新宿にて事故対応をはじめとするセキュリティ対策をテーマとしたセミナーを開催する。同セミナーではインシデントの事後対応を迅速かつ適切に行うための心構えや、そもそも事前からどういった備えを行っておくべきかについて解説する予定だ。本稿では、ソフトバンク・テクノロジープリンシパルセキュリティリサーチャー、辻伸弘氏に、実際のサイバー攻撃事件を参考にしながら、事故対応の心構えや勘所、そして事件から得られた教訓について話を聞いた。

ここで取り上げるのは、昨年、世界中で猛威を振るったといわれ、日本でもインパクトのある報道がなされたランサムウェア「WannaCry」だ。まずは、このランサムウェアに関連した動きを時系列で振り返ってみたい。

2017年 1月8日　海外のハッキング集団「シャドー・ブローカーズ」が、NSAから盗み出したと主張する未知の脆弱性を利用する攻撃コード(後にMS17-010となる)の存在について発表

3月15日　Microsoft製品に関する脆弱性の修正プログラムMS17-010が公開される →　この脆弱性がランサムウェアの感染に悪用されるとされた

4月14日　シャドー・ブローカーズにより攻撃コードが公開される →　これにより誰でも攻撃コードが手に入るようになり危険性が高まり、前述のパッチ適用が急務な状態に

5月12日　WannaCryによる攻撃キャンペーンが開始 →　世界中の企業・組織で感染が報告される

6月中旬　WannaCry攻撃キャンペーン(第二弾) →　同様に世界中の企業・組織で感染

さほどセキュリティの専門知識がなくとも、勘の鋭い方であればこの流れを見て何かに気づくのではないだろうか。そう、攻撃コードが公開されて脆弱性の修正プログラムの適用をすぐに行わねばならない状況から、実際にその脆弱性を突いた攻撃が開始されるまで、約1月ものタイムラグがあったのである。これが脆弱性の修正プログラムの公開から攻撃開始までとなれば、実に2ヶ月近くにもなる。

ソフトバンク・テクノロジープリンシパルセキュリティリサーチャー辻伸弘氏

「本来、各種のセキュリティパッチというのは、公開されたらすぐに適用するというのが『当たり前』なはずです。つまり、これだけの時間的猶予がありながら、当たり前のことができていなかった組織がWannaCryの被害にあった可能性が高いのです」(辻氏)

ただし、MS17-010を適用していたとしても、NSA(米国国家安全保障局）が仕掛けたとリークされているとされるバックドア「DoublePulsar」が入り込んでいるとやはりWannaCryに感染してしまう。一方で、感染したとしても、あるドメインへのアクセスにより自身の稼働を停止する目的不明の「キルスイッチ」機能も発見されている。

また、そもそもネットワーク機器やWindows OS上で、SMBサービスに使われるTCPポート445をフィルタリングしていれば、脆弱性の有無に関わらずWannaCryの感染はほぼ防げたという。SMBサービスを使用していないにも関わらず、TCPポート445をインターネットに向けて開放したままにしていたのだとしたら、ランサムウェア対策以前に、一般的なネットワーク管理の問題といっていいだろう。

「感染条件を考えると少々ややこしいですが、要するにWannaCryに感染するには様々な条件をクリアしなければならないということです。日頃から最低限のセキュリティ対策を実施していれば、ほぼ感染は防ぐことができましたし、あの騒ぎの中で一緒になって騒がなくて済んだのです」(辻氏）

バックアップはしていても、いざという時すぐに戻せるか？

WannaCryに関しては、日頃からの基本的なセキュリティ対策が効果的であることが判明した。しかし攻撃手法が高度化し、なおかつそうした高度な攻撃ツールが誰にでも手に入るようになった今日、セキュリティ攻撃による被害を完全に防ぐことは難しい。そこで未然に被害を防ぐ対策と合わせて重要になってくるのが、万が一被害を受けた後の事後対策だ。

ランサムウェアにしても、もしも感染したときのために準備しておくべことはいろいろとある。その代表的なものがバックアップだ。ランサムウェアに感染して貴重なファイルやシステムが暗号化されてしまったとしても、バックアップが存在していれば、攻撃者に金銭を支払う必要はないだろう。しかし辻氏は、ただバックアップしていれば良いわけではなないと指摘する。

「実際、セミナーなどで企業の情報システム担当者に『データのバックアップをしてますか』と尋ねると、98％は手を挙げます。残りの2%は寝てる人ですかね(笑)。しかし『バックアップしたデータを使わねばならなくなったとして、今すぐに復元できる自信がありますか』ときくと、手を挙げる人はほとんどいなくなってしまうんです」(辻氏)

つまり、バックアップは行っていても、バックアップデータを自信をもって使えるといえる状態にするには、きちんとした準備と訓練が必要ということだ。ファイルによっては、その"空白期間"により、甚大な損失を被ることになるかもしれないのだ。

標的型攻撃のターゲットは個人情報以外にも?

ここで言及した以外にも、WannaCry騒動から見えてきた課題はあるという。その詳細はもちろん、辻氏が独自の検証によって突き止めた「標的型攻撃の犯人が狙うのは個人情報だけではない」という衝撃的な事実、さらには昨年夏に同氏自身が当事者として対応に奔走した、ソフトバンク・テクノロジーでの不正アクセスによる情報流出の真相と、そこから得られた教訓についてが、3月16日に開催される「インシデント経験企業に学ぶ！事故対応の勘所セミナー」の辻氏の講演中で語られる予定である。その場でなければ明かせない情報もあるとのことなので、ぜひ足を運んで貴重な機会を有効活用していただきたい。

[PR]提供：ＮＴＴテクノクロス、デジタル・インフォメーション・テクノロジー、ＦＦＲＩ