WannaCry 問題が発生してから2年以上が経過しましたが、その影響は未だに残っています。2年も前のエクスプロイトとランサムウェアが、なぜ依然として問題なのか、考えられる理由が4つあります。
1985年の最初のリリース以来、Microsoft Windows は9つのメジャーリリースを経て人気が高まり、Apple、Google、様々な Linux ベースのディストリビューション、など、いくつもの競合オペレーティングシステムを引き離して、デスクトップ、ラップトップ、サーバー市場を効果的に支配しています。WannaCry(2017年5月12日にパッチを当てていないシステムを介して世界中をターゲットにして拡散したランサムウェア攻撃)は、Windows OS、特に Microsoft SMBv1(または SMB1、ポート445を利用するプロトコル)をターゲットとしており、Windows の広範な普及が、ハッカーにとっては非常に好都合でした。
ファイル共有が有効になっている場合やネットワークプリンタでよく使用されるこのプロトコルは、他の機器でも使用されることになります。 Siemens や Bayer が警告しているように、医療機関で使われる機器などは、デスクトップやサーバーなどよりも攻撃に対して脆弱です。私には、ハッカーが医療機器を使用して誰かに危害を加えようとする攻撃についてはよくわかりませんが、脅威が存在することを知るだけで十分です...
WannaCry はブロック可能だったはず
使用された伝播ツール(感染したマシンが他のマシンに感染することを可能にするツール)が NSA によって開発されたものであるらしい点を除外すると、EternalBlue エクスプロイトは、実は Microsoft に知られていました。サポートされているオペレーティングシステムは、主要な攻撃が行われる約2カ月前の3月にセキュリティ更新プログラム (Microsoft Security Bulletin MS17-010) を受け取りました。
Microsoft は、3カ月間にわたって、サポートされなくなったオペレーティングシステムに対しても、セキュリティ更新プログラムで WannaCry から保護するためのソリューションと指示を提供しました。 SMB1 の無効化が推奨され、Microsoft 自身も WannaCry 攻撃の何年も前に SMB1 の停止を提唱して、アップグレードを必要とする、または SMBv1 に限定される脆弱な製品のリストを作成しました。SMB1 のデフォルトのインストール(2014年に Microsoft によって非推奨とされる)は 2018年4月の Windows 10 のアップデートで削除され、Samba(Linux でファイル共有を可能にする)もバージョン4.11から 同じアプローチを取りました。
WannaCry 脅威がなくならない理由
メッセージは極めて明確です。「SMB1 はひどいので、使用しないでください。」という簡単なことです。セキュリティ専門家はそう訴えており、オリジナルの開発者もそれに同意しています。では、問題は何なのでしょうか?問題は、2017年5月の WannaCry 攻撃の前後のセキュリティ更新にもかかわらず、2年以上経過しても脆弱なデバイスがおよそ100万台存在し、毎日何十万もの攻撃が行われていることです。脆弱性のあるデバイス40万台以上が米国ベースであり、約7万5千台の日本がそれに続きます。
ということは...デバイス所有者はいったい何をしているのでしょうか?WannaCry が発生したとき、彼らは岩の下に住んでいたか、昏睡状態だったとでも言うのでしょうか?デバイスにパッチを適用していないのはなぜですか?
IT 管理者がそれほど愚かなことはあり得ない(ソーシャルスキルに欠けていることもありますが、技術的な知識で補っています)ので、IT 部門の問題だとは思いません。IT 管理者には、セキュリティパッチを無視してはいけないことは十分わかっています。それでも今も約100万台の脆弱なデバイスが残っていることには、何か別の理由があるはずです。私は次のような理由(順不同)があるのではないかと考えています(これらに限られるわけではありません)。
1. 違法なソフトウェア
一部のユーザーは、おそらく、ダウンロードサイトから違法に入手したパッチを適用していないバージョンの Windows を使用していると考えられます。入手のオプションは限りないほどあります。目的のOSを、キーワード “torrent” を追加して検索してみてください。そういったことをするユーザーは、ベンダーからのパッチやアップデートをダウンロードすることについては抵抗感を持ち、何の根拠もなしに、使用しているクラッキングされたバージョンには、デバイスを侵害するように設計されたエクスプロイト、脆弱性、キーロガーやその他のツールはないはずだと思い込もうとしがちです。
2. IT サポートの欠如
IT に関係のない分野の小規模企業は、自社のネットワークと接続されたデバイスが最新であることを保証するための専門知識を持っていない場合があります。それにもかかわらず、IT を外部委託することもありません。法律、製造、医療などのいくつかの産業に共通する、「壊れていなければ、アクションは必要ない」という態度です。
この傾向は、Forescout の調査を読むと明らかです。医療系のデプロイメントでの Windows デバイスの71%が、Microsoft のサポートが2020年1月14日に期限切れになる予定になっている、Windows 7、Windows 2008、またはWindows Mobile を使っています。サポートされていないオペレーティングシステムを使うことは、脆弱性をさらし、規制コンプライアンスにも影響を与えるリスクを伴います。
3. 変化への抵抗
長年の Windows ユーザーとして、私自身も、使用している OS がすべての要件を満たして問題なく作動しているのに、OS のアップグレードを強制されるのは本当に気乗りがしません。公式サポートの終了によって、XP からの変更を余儀なくされましたが、このときも、最後の最後まで抵抗し続けました。Windows 7 のときも同じです。理由はシンプルで、ブランドのシステムを購入したことがなく、カスタムビルドを好む上に、OS のアップグレードはシームレスに進むことはなくいろいろ面倒なことが起こるからです。後継のバージョンは、より多くの RAM やドライバを必要とし、ソフトウェアの更新も必要になります。既存のソフトウェアは新しい OS と互換性がないかも知れず、新しいライセンスが必要になるかもしれません。まったくやりきれません。
多数のマシンとソフトウェアが使用されている企業になると、OS のアップグレードにかかる費用は相当な投資になります。既存の OS で特に問題なくすべて処理できている場合は、特に煩わしい負荷になります。
要するに、ユーザー企業も、新しい OS にアップグレードするのはぎりぎりまで避けたいのです。非常にやっかいで(企業全体のアップグレードを実行するのに手間と時間がかかります)、コスト増もにつながりかねません。それでも、いまいましいことに、ハードウェア業界もソフトウェア業界も両方とも、新しいオペレーティングシステムと関連するアップグレードが必要になる状況を推進しています。理由は明らかで、企業は継続的な収益を生み出す必要があり、古い製品を長期的にサポートすることはその前提に反するからです。
それでも、Microsoft はサポート終了後の OS に対しても主要なセキュリティの脅威に対する更新は提供し続けています。セキュリティ関連の問題はサポートが終了したからと放置すれば、余計に評判が悪くなりますから。サポートされている OS にアップグレードする予算がない場合は、どうすればいいでしょうか?Linux でしょうか?
4. 古いハードウェア
SMB1 プロトコルを使用しているデバイスは、プリンタ、ルーター、NAS、医療画像機器、など、どんなデバイスであっても、必要な WannaCry パッチを(ドライバまたはファームウェア・アップデートを介して)適用できなければ、苦境に陥ります。リスクを受け入れる(2年前のあの騒ぎを見ても?)か、新しいハードウェアを購入するかの選択肢しかありません。
まとめ
どんな理由(違法なソフトウェアには同情の余地はありませんが)があるにせよ、SMB1 プロトコルを使用し続けるための言い訳にはなりません。SMB1 を無効にし、それによって何か問題が生じたらその問題を解決するよう取り組まなければなりません。この脆弱性が特定されてから2年以上が経過しているとは言っても、これまで大丈夫だったから今後も大丈夫という保証はありません。WannaCry はいつでも起こり得るリスクであり、早急な対応が必要です。
EternalBlue が SMB1 の脆弱性を悪用した後、手法はランサムウェアだけでなく、クリプトマイニングにも応用されています。このような攻撃は、デバイスユーザーの操作なし(ソーシャルエンジニアリングの必要なしに)で既知の脆弱性を悪用できますが、所属する会社が、こうした脅威を無視することによる潜在的な損害に耐えられるかどうか、よく考えてみてください。