2017(平成29)年はアメリカでトランプ政権が誕生する一方、北朝鮮が大陸間弾道ミサイル(ICBM)の発射実験を繰り返して米朝間の緊張が高まるなど国際情勢は決して穏やかとは言えない年だったのですが、サイバー空間も極めて不穏な年でした。
150カ国23万台以上のコンピューターに感染
2017年5月12日、イギリスのNHS(国民保健サービス)のシステムに障害が発生しコンピューター端末に300ドル相当のビットコインを要求する身代金メッセージが表示されました。ロンドンやイングランド北部の病院、診療所は緊急でない診療を中止せざる得ない事態に追い込まれました。BBCの報道によるとロシアでは銀行や鉄道会社、携帯電話ネットワーク、政府機関に障害が発生、スペインの電力会社や通信事業者、フランスの自動車メーカー、ルノーやアメリカの配送会社、フェデックスも影響を受けました。ランサムウェアWannaCryによる攻撃でした。
WannaCryによる被害は全世界に及び、日本では総務省が5月15日に「世界的な不正プログラムの感染被害について」と題した注意喚起を発出、「5月12日(金)より、Wanna Cryptor、WannaCrypt、WannaCry、WannaCryptor、Wcry等と呼ばれるランサムウェアの感染により、世界的にITシステムの障害が発生しています」としWindowsを更新するように呼びかけました。WannaCryはMicrosoft Windowsの脆弱性を悪用したワーム型のランサムウェアで150カ国23万台以上のコンピューターに感染してビットコインで身代金を要求しました。今日、北朝鮮との関連が指摘されているWannaCryランサムウェアのさらなる拡散は、当時22歳で現在、コンピューターセキュリティ研究者のマーカス・ハッチンズ氏がキルスイッチを発見したことで阻止されました。
WannaCryによる混乱が冷めやらぬ同年6月27日ころからは今度はウクライナを中心にコンピューターの大規模な障害が発生しました。キーウでは地下鉄のプリペイドカードが使えなくなり、ガソリンスタンドでは営業ができなくなる事態となりました。サイバーセキュリティ企業、カスペルスキーの分析によると被害はウクライナにとどまらずロシア、そしてポーランドに集中していました。この攻撃は当初、前年の2016年に猛威をふるったランサムウェア、Petyaと似ていたことからPetyaの亜種によるランサムウェア攻撃と考えられました。しかし、その後、ランサムウェアにあるべき暗号化キーがないことが判明、ランサムウェアに偽装したワイパーマルウェアでコンピューターの破壊を目的とした攻撃だったと考えられるようになりNotPetyaと呼ばれるようなったことは前回の「【サイバー攻撃の歴史】ランサムウェアPetyaとワイパーNotPetya」でお伝えした通りです。
攻撃ツールEternalBlueが使われていた
2017年はWannacryとNotPetyaという2つのマルウェアか立て続けに大規模な攻撃を行いコンピューターを混乱に陥らせたデジタル社会の歴史において特筆すべき年なのですが、この2つの攻撃はともにEternalBlueと呼ばれる攻撃ツールを使って行われたとみられています。EternalBlueはWindows SMB 1.0サーバが特定のリクエストを処理する際のセキュリティ上の脆弱性(CVE-2017-0144)を悪用して標的のPC上で任意のコードを実行する攻撃ツールです。マイクロソフトはWindows SMB 1.0サーバの脆弱性(CVE-2017-0144)を2017年3月の更新プログラムで修正しましたが、更新を行っていなかった多くのコンピューターが被害を受けました。
EternalBlueは、アメリカのNSA(国家安全保障局)との関係が指摘されるEquation Groupと呼ばれる攻撃グループからShadow Brokersと呼ばれるハッカーグループが盗んで公開した攻撃ツールだと言われています。NotPetyaの攻撃ではEternalBlueが使用されていましたが、2016年に使われたランサムウェアのPetyaはEternalBlueは使われておらずメールの添付ファイルによって拡散されていたことから攻撃手法にもPetyaとNotPetyaには大きな違いが見られたということです。
米司法省は2020年10月19日、ビッツバーグの連邦大陪審がロシア軍参謀本部の情報機関GRUのユニット74455の将校6人に対して世界的なコンピューターハッキングに関する起訴状を提出したことを発表、その中にはNotPetyaによる攻撃が含まれています。また、2018年9月6日には米司法省は、北朝鮮政権の支援を受けているラザロメンバーのプログラマーが複数のサイバー攻撃に関与しているとの発表を行い、この人物に対する刑事告訴状を公開しました。その容疑の中にはWannaCryランサムウェアの作成も含まれています。今日、WannaCryは北朝鮮、NotPetyaはロシアによる国家を背景としたサイバー攻撃との見方がなされています。
🔳出典・参考
https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000264.html
https://www.wired.com/story/eternalblue-leaked-nsa-spy-tool-hacked-world/
https://japan.zdnet.com/article/35112205/
https://www.cloudflare.com/ja-jp/learning/security/ransomware/petya-notpetya-ransomware/