アングル:大規模サイバー攻撃、専門家を悩ませる「奇妙な謎」
5月16日、わずか数時間で100カ国以上に拡散した身代金要求型ウイルス「WannaCry」はどのように始まり、これほど急速に拡散したのか。写真は、ノートパソコンを持つフードをかぶった人。ワルシャワで13日撮影(2017年 ロイター/Kacper Pempel)
[シンガポール 16日 ロイター] - わずか数時間で100カ国以上に拡散した身代金要求型ウイルス「WannaCry(ワナクライ)」。それはどのように始まり、これほど急速に拡散したのか。なぜハッカーたちがそれほど金を稼いでいないのか──。
従来攻撃との違いに、サイバーセキュリティーの専門家は驚きを隠さない。
一部の専門家がワナクライによる攻撃が北朝鮮と関連がある可能性を示す証拠があるとする一方、他の専門家はより慎重な姿勢を見せており、第1段階としてはまずワナクライ自体に関する最も基本的な疑問を解明することだと主張している。
そもそもワナクライがどのように拡散したのか、専門家はいまだに解明していないと、IBMセキュリティーのカレブ・バーロー氏は指摘する。大半のサイバーセキュリティー会社は、正規の電子メールを装った、悪意のある添付ファイルやリンクを含むフィッシングメールが感染の原因だとしている。
身代金要求型ウイルス(ランサムウエア)のほとんどはそのような方法で被害者のコンピューターに入り込む。
だがワナクライの厄介な点は、3月1日までさかのぼって10億件を超えるメールを掘り返しても、バーロー氏のチームはワナクライによる攻撃に関連する証拠を1つも見つけることができなかったことだ。
「ネットワーク内で被害者が1人出れば、感染は拡大する」と、バーロー氏は、マイクロソフトの基本ソフト(OS)「ウィンドウズ」のぜい弱性について電話でこう述べた。
米国家安全保障局(NSA)は、「エターナル・ブルー」と呼ばれるハッキングツールを構築するため、マイクロソフトのぜい弱性を利用した。だが結局、それは謎のハッカー集団「シャドー・ブローカーズ」の手に渡り、他のツールも含めインターネット上に放出された。
しかし謎なのは、それぞれのネットワークで最初の被害者がどのように感染したのか、という点だ。「スキャンしても全く痕跡が見つからないというのは統計的に極めて異例だ」とバーロー氏は語った。
他の専門家もバーロー氏に同意する。「今のところ、ワナクライによる攻撃を最初に受けたことを示す明らかな証拠はない」と、デル傘下のRSAセキュリティのブディマン・ツジン氏は述べた。
悪意のあるソフトウエア(マルウエア)がいかに感染し、拡散するかを知ることは、現在横行する攻撃を阻止するだけでなく、新たな攻撃を予期するうえで鍵となる。
<微々たる身代金>
一方、一部のサイバーセキュリティー会社は、フィッシングメールを数件確認したという。ファイア・アイは、同社のリポートを利用した顧客が、成功裏に攻撃に関連したメールを特定したことを明らかにした。
同時に、他の攻撃ほど、ワナクライがフィッシングメールに依存していないことも同社は認めている。ある一定数、感染すれば、マイクロソフトのぜい弱性を利用して自己増殖が可能だという。
また、今回の攻撃が通常の身代金要求型の攻撃とは違うことを示す意外な理由はほかにもある。入手した証拠によれば、ハッカーが得た身代金の額は微々たるものだ。そのほとんどが仮想通貨ビットコインである。
使用されたビットコインウォレットはわずか3つしかなく、感染拡大にもかかわらず、これまでのところ5万ドル(約560万円)程度しか稼いでいない。バーロー氏によると、他の身代金要求型ウイルスには1回の支払い額がそれよりも高額なものもあり、被害者によって額が異なるという。
ビットコインの支払いを監視するChainalysisのジョナサン・レビン氏は、大半の身代金型ウイルスと比較して、ほかにも異なる点があると指摘。例えば、被害者が支払うよう説得するといった、これまで使われてきた高度な方法が欠如しているという。
レビン氏によると、ハッカーに支払われたビットコインはまだ手つかずでウォレットにあるという。ロッキーと呼ばれるウイルスによる攻撃では、被害額は1500万ドルに上り、ビットコインウォレットも定期的に空になっていた。
洗練さの欠如は、今回の攻撃が北朝鮮と関連する可能性を示す証拠を発見したと主張するサイバーセキュリティー専門家らを後押しするかもしれない。
北朝鮮がランサムウエアの開発やテストを開始したのは昨年8月以降だと、韓国のHauri Labsでシニアリサーチャーを務めるサイモン・チョイ氏は16日語った。韓国のショッピングモールから盗んだ顧客情報と引き換えにビットコインを要求するケースもあったという。
北朝鮮のハッキング能力について広く調査しているチョイ氏は、自身の発見が、米シマンテックと露カスペルスキーの発見と一致すると主張する。2社は、初期のワナクライに使われた一部のコードが、北朝鮮のサイバー部隊とみられているラザラス・グループが使用したプログラムにも出てくると指摘している。
とはいえ、複数のサイバーセキュリティー会社によると、ラザラスは他のハッカーよりも金銭目当てである傾向が強く、過去にもバンクラデシュ中央銀行から8100万ドルを盗んだ疑いが持たれている。米国は、2014年にソニー・ピクチャーズに対しサイバー攻撃を行ったとしてラザラスを非難している。
今回の攻撃の背後に誰がいようと、ハッカーが自由に入手できるツールをこれほど効果的に利用したそのやり方こそ何よりも懸念されるべきだと、香港のプライスウォーターハウス・クーパース(PwC)でサイバーセキュリティーパートナーを務めるマリン・イベジク氏は指摘する。
独自のランサムウエアとともに、NSAから得たツールを世間に放出することによって、「彼らは従来の方法では成し得なかったほど広範囲に配布することができた」とイベジク氏。
「エターナル・ブルー(ハッキングツール)はワームの一種とみられるランサムウエアのROI(投資利益率)を明らかにした。これはサイバー犯罪研究の中心となるだろう」
(Jeremy Wagstaff記者 翻訳:伊藤典子 編集:下郡美紀)
私たちの行動規範:トムソン・ロイター「信頼の原則」
次の記事
- マーケットブラジル中銀総裁、利下げペース減速示唆 不確実性の高まりで
ブラジル中央銀行のカンポス・ネト総裁は17日、世界経済や国内状況を巡り先行き不透明感が高まっているとし、金融緩和ペースを落とす可能性を示唆した。
