今年(2017年)4月、The Shadow Brokersと名乗るグループにより、NSAのハッキングツールがインターネット上に無償公開されました。
cyberthreatintelligence.hatenablog.com
この時リークされたハッキングツールの中に、NSAが標的をスパイしたり乗っ取りを行ったりするためのEternalblueと呼ばれるツールが含まれていました。このツールはマイクロソフトにより3月にパッチがリリースされていたMS17-010というバグを攻撃するものです。ハッキングツールがリークされた時点でパッチがリリースされていたにも関わらず、このツールの悪用により数千のコンピュータが乗っ取りの被害にあいました。
そして今度はこのツールがWannaCryptと呼ばれるランサムウェアの強化のために悪用されていることが、The Registerにより2017年5月13日(英国時間)の記事で報じられています。
MS17-010のパッチが適用されていないコンピュータや、Windows XPなどすでにサポート切れとなっているOSを利用しているコンピュータが、この強化されたWannaCrypt亜種の被害にあう可能性があるとのことです。このランサムウェアは何らかの手段により標的となったコンピュータ上で実行された後は、SMBを利用してネットワーク上の他のコンピュータに拡散します。感染したコンピュータ上のドキュメントを暗号化することで使用不能とし、復旧するための身代金として$300から$600をビットコインで要求します。
また、記事によると、このランサムウェアは感染したコンピュータにDoublepulsarというツールをインストールします。このツールもまたThe Shadow BrokersによりリークされたNSAのハッキングツールで、バックドアとして利用されます。
このランサムウェアによる被害については日本のテレビニュースでも「英、露を含む70カ国以上で大規模なサイバー攻撃」、「イギリスではロンドンなど各地の病院で一斉にシステムがダウンし、患者のデータにアクセスできなくなるなどの被害」などと報道されています。
なお、MALWAREINTにより公開されているWannaCrypt(Wcrypt)の感染マップによると、現時点(5月13日17時)ですでに日本にも感染が広がっていることが確認できます。
今後もThe Shadow Brokersにより公開されたNSAのハッキングツールを利用したサイバー攻撃は発生する可能性が高いと考えられます。そのため、関連する脆弱性へのパッチ適用などの対応は、優先度を上げて実施する必要があるといえます。