本連載では、国家主導型サイバー攻撃のねらいと手口について、世界のサイバー事件に詳しいマカフィー サイバー戦略室 シニアセキュリティアドバイザー CISSPのスコット・ジャーカフ氏に事例を交えながら解説していただく。

今回は、米国国家安全保障局(NSA)のサイバー戦情報収集組織Tailored Access Operations(TAO)のツールが利用されたランサムウェア「WannaCry」について紹介する。

カフィー サイバー戦略室 シニアセキュリティアドバイザー CISSP スコット・ジャーカフ氏

さまざまな面で”稚拙”といえるWannaCry

今年5月、ランサムウェア「WannaCry」が世界中で猛威をふるった。その被害は収束しつつあるものの、亜種も含めた感染はいまだ世界各国で発生している。

WannaCryは、前回紹介したとおり、流出したTAOのハッキングツールを利用して作成されたものである。「WannaCryの目的は、一般的に金銭狙いであると考えられています。しかし、ランサムウェアとしては非常に稚拙なソフトウェアでした」(ジャーカフ氏)

ジャーカフ氏が、WannaCryを稚拙であると指摘する理由はいくつかある。

まずは、金銭目的であるにもかかわらず、さほど利益が得られていない点だ。

WannaCryの首謀者は今年8月に、身代金のビットコイン14万ドル相当を全額引き出した。しかし、マカフィーが2015年に報告したレポートでは、エクスプロイットキット「The Angler Exploit Kit」の背後にいる攻撃者はランサムウェア単体で年間約6000万ドルもの利益を得ているという情報もあり、これと比較するとWannaCryは投資効果の高いランサムウェアであるとは言い難い。

さらに、機能自体も非常に未熟なものであった。

WannaCryは世界中で大きな被害をもたらしたものの、WannaCryに内蔵された自身の活動を停止する条件「キルスイッチ」が発見されたことによって急速に収束した。キルスイッチが有効になると、WannaCryは無効化され、ファイルの暗号化や身代金の要求などの活動を停止する。

「ランサムウェアのキルスイッチは通常、乱数やランダムな文字が並んだドメインです。一般的なランサムウェアは、マルウェアを操作するたびにこのキルスイッチドメインが変わりますが、WannaCryの場合は固定されていました。そのため、米国の研究者がWannaCryのキルスイッチドメインを取得して登録すると、WannaCryはいきなり無効化されてしまいました。非常に素人臭いランサムウェアであると考えています」(ジャーカフ氏)

またビットコインの取り扱いも粗末なものであった。

ビットコインのウォレット所有者は匿名だが、取引は追跡可能となっている。したがって攻撃者による決済が発生すれば、そこから足が付く可能性もある。攻撃者は取引を追跡できないようにする必要があるが、WannaCryではこの対策がなされていなかった。

さらには、攻撃者側も身代金が誰によって支払われたのかが確認できないようになっていたという。

WannaCryの攻撃者は誰なのか

では、誰がこのWannaCryによる攻撃を仕掛けたのか。

これまで、多くのセキュリティ機関や企業では、北朝鮮のハッカーがWannaCryによる攻撃を実行したと考えてきたものの、推測の域を出なかった。しかし、最近になって、アメリカ政府からの公式見解として北朝鮮のハッカー集団による犯行であったことが発表された。

「今回のアメリカ政府の発表は、政府がWannaCryの全体像が明らかではない段階で結論を出すのではなく、技術データと従来のデータの両方を活用して、実行犯の特定に向けて主体的に取り組んできた結果であると考えています」(ジャーカフ氏)

またアメリカ政府による調査についてジャーカフ氏は、「技術的調査だけでは、WannaCryの発生源についての確証を得ることはできません。しかし、技術的調査と信頼性の高い情報源や警察機関からの情報を組み合わせることで、サイバー攻撃の背後にいる実行者に関する確証を高めることができます。そして、アメリカ政府はそれらを実施できる立場にありました」と分析している。

一方で、WannaCryの本当の目的は何だったのか。

それについてジャーカフ氏は、「WannaCryはランサムウェアとしては変則的なものでした。効果的なランサムウェア攻撃には欠かせないはずの身代金の支払いシステムに不備があったことはお伝えしたとおりですが、これは攻撃者の目的が金銭奪取のための脅迫というよりも、破壊や妨害などを意図したものであったことを示唆しています」との見解を示す。

このことは、WannaCryに続いて、ランサムウェア「Petya」やデータ破壊を目的としたワイパー「NotPetya」が発生したこととも無関係ではない。そしてPetyaやNotPetyaもWannaCry同様、エターナルブルーを利用している。またTAOから盗まれたデータのなかには、そのほかにも新種のハッキングツールが含まれていると考えられる。

10月に感染が拡大したランサムウェア「Bad Rabbit」についてはさまざまな見方があるが、こちらもTAOのツールが悪用された可能性もあり、ランサムウェアの脅威は、依然として世界的に大きなものとなっている。