is702
ニュース

WannaCryを徹底解析、「バックドア」「脆弱性攻撃」で2段構えの攻撃手法

2017/05/22

トレンドマイクロは5月18日、公式ブログで「ランサムウェア『WannaCry/Wcry』のワーム活動を解析:侵入/拡散手法に迫る」と題する記事を公開しました。世界的な大規模拡散で話題となっているランサムウェア「WannaCry」について、徹底解析を行っています。

WannaCryは、ワーム活動としてWindowsの脆弱性「MS17-010」を利用することがわかっていましたが、今回の解析で、バックドアツール「DoublePulsar」も利用していることが明らかとなりました。

「DoublePulsar」は、米National Security Agency(国家安全保障局、NSA)が制作したとされるバックドアツールです。今年4月にNSAから情報が流出し、その存在が知られるようになりました。なおWannaCryは、「MS17-010」を利用する部分でも、NSAからの流出ツール「EternalBlue」のコードを流用していることが判明しています。

ワーム活動の流れですが、第一段階としてWannaCryは、攻撃対象(端末や外部のIPアドレス等)をスキャンします。445番ポート(SMB)で侵入できた場合、次に脆弱性「MS17-010」が存在するかどうか確認します。さらに脆弱性「MS17-010」の有無にかかわらず、バックドアツール「DoublePulsar」の存在を確認します。「DoublePulsar」が存在した場合は、そのバックドア機能を使用してWannaCryを送り込み感染させます。「DoublePulsar」が存在しなかった場合は、「MS17-010」を利用してDoublePulsarに感染させてから、WannaCryを送り込みます。「MS17-010」「DoublePulsar」の両方が存在しなかった場合は、攻撃は成立しません。

DoublePulsarは、メモリ中で直接実行されファイルとしては保存されません。そのため、端末を再起動すれば活動停止させることができます。またDoublePulsarに感染している環境であっても、445番ポートが開いていなければ攻撃はできません。

一方トレンドマイクロが、インターネット検索エンジン「SHODAN」を使い、445番ポートを開放しているWindows環境を検索したところ、5月18日時点で全世界に50万件以上が確認されました。日本でも3万件近くが稼働していました。「WannaCry」への対策としては、脆弱性に対するパッチ適用ともに、445番ポート等の不要ポートの使用停止、パーソナルファイアウォールやホスト型IPSを使用した代替手段の適用等が望ましいでしょう。



「WannaCry」のワーム活動フロー概要図<br />

「WannaCry」のワーム活動フロー概要図