SMB1とEternalBlue脆弱性 – 大規模ランサムウェア被害を引き起こしたセキュリティホール

サーバ OS ファイルシステム セキュリティ

近年、サイバー攻撃による被害が増加しており、特にランサムウェア攻撃は企業や個人に深刻な影響を与えています。その中でも、世界中で大規模な被害をもたらした「WannaCry」や「NotPetya」などの攻撃で利用された脆弱性「EternalBlue」は、Windowsの古いネットワークプロトコル「SMB1(Server Message Block version 1)」に存在していました。本記事では、EternalBlueの仕組みやリスク、対策について詳しく解説します。

1. EternalBlueとは何か?

EternalBlueは、WindowsのSMB1プロトコル脆弱性(CVE-2017-0144)を利用するエクスプロイトで、元々は米国家安全保障局NSA)によって開発されたとされています。この脆弱性を利用することで、リモートの攻撃者が権限を持たずにWindowsシステムにアクセスし、任意のコードを実行することが可能です。

2017年、この脆弱性に対するエクスプロイトコードがハッカー集団「Shadow Brokers」によってインターネット上に公開され、多くの攻撃者が利用可能になりました。その結果、「WannaCry」や「NotPetya」などのランサムウェア攻撃に悪用され、短期間で広範囲にわたる感染が拡大しました。

2. EternalBlueが悪用された攻撃の仕組み

EternalBlueは、SMB1プロトコル脆弱性を悪用するため、主にWindowsのファイル共有機能を介して感染を広げます。以下が、EternalBlueを利用した攻撃の典型的な流れです。

  1. 脆弱なシステムをスキャン:攻撃者は、TCPポート445をスキャンして、SMB1が有効でEternalBlue脆弱性が残っているシステムを探します。

  2. エクスプロイトの送信:脆弱なシステムが見つかると、EternalBlueを用いてシステムに侵入し、SMBプロトコルを悪用してコードを実行します。

  3. 悪意のあるコードの実行:侵入後、ランサムウェアのダウンロードや実行、システムのデータ暗号化などが行われ、データが人質に取られます。

  4. ネットワーク内での感染拡大:一度感染が成功すると、同一ネットワーク内の他の端末にも感染が広がります。EternalBlueは自律的に感染を拡大するため、短時間で企業全体に広がることもあります。

3. EternalBlueが引き起こした被害

EternalBlueが悪用された代表的な攻撃は、「WannaCry」と「NotPetya」です。

WannaCryランサムウェア

2017年5月、WannaCryは、EternalBlueを利用して広範囲に感染を広げ、数十万台のシステムが暗号化被害を受けました。感染したシステムのファイルが暗号化され、復元のためにビットコインでの身代金が要求されました。この攻撃は特に医療機関や公共機関に影響を与え、診療の遅延や業務停止などの深刻な影響が出ました。

NotPetyaランサムウェア

2017年6月、NotPetyaもEternalBlueを利用したランサムウェアとして拡散されました。NotPetyaはWannaCryとは異なり、主にウクライナを標的とし、政府機関や企業を含む多数のシステムを破壊しました。NotPetyaは「ランサムウェア」と呼ばれていますが、実際にはデータ復元の手段がない「ワイパー型」ウイルスであり、データを破壊することを目的としていました。

4. EternalBlueがもたらすセキュリティリスク

EternalBlueは、SMB1の脆弱性を利用してリモートでのコード実行を可能にするため、攻撃の被害を受けやすい特徴があります。また、感染が一度始まるとネットワーク内で次々にシステムが感染する自己増殖型であることから、対策をしていない企業や組織では被害が甚大化するリスクがあります。

さらに、公開後数年が経過した現在でも、EternalBlueを使った攻撃が確認されています。これは、まだ多くの組織や個人が古いシステムやセキュリティパッチ未適用のシステムを使用していることが理由です。

5. EternalBlueに対する対策

EternalBlueの脆弱性を悪用されないためには、以下のような対策が有効です。

SMB1の無効化

まず、古いプロトコルであるSMB1の使用を停止することが推奨されます。SMB1を無効にすることで、EternalBlueの脆弱性を狙った攻撃に対する防御が可能です。Windowsでは、設定メニューから簡単にSMB1を無効化できます。

セキュリティパッチの適用

Microsoftは2017年にEternalBlueに対するセキュリティパッチを公開しました。定期的にWindows Updateを行い、最新のパッチを適用することで、既知の脆弱性を未然に防ぐことが可能です。サポートが終了したOSの場合でも、特別なパッチが提供されていることがあるため、確認が必要です。

ファイアウォール設定

ネットワーク内での感染拡大を防ぐため、ポート445をブロックし、SMBの外部アクセスを制限することが推奨されます。ファイアウォールを適切に設定することで、悪意あるアクセスを未然に防ぐことができます。

ウイルス対策ソフトの導入

EternalBlueやそれに関連するマルウェアを検出できるウイルス対策ソフトを導入し、常に最新の状態に保つことで、感染のリスクを軽減できます。

6. SMB1とEternalBlueの代替策

EternalBlueのリスクを回避するためには、SMB1の使用を避け、より安全なプロトコルに移行することが重要です。Windows Vista以降では、より強力なセキュリティ機能を備えたSMB2やSMB3が利用可能です。これらのプロトコルには、通信の暗号化や改ざん防止機能が搭載されており、現代のセキュリティ基準に適合した保護が提供されます。

7. まとめ

EternalBlueは、Windowsの古いプロトコルSMB1に存在する脆弱性を悪用したエクスプロイトであり、ランサムウェアの大規模な拡散に利用されました。2017年に発生したWannaCryやNotPetyaなどの攻撃で甚大な被害を引き起こしたことから、EternalBlueの脆弱性を放置することのリスクは大きいと言えます。

今後もEternalBlueを使った攻撃は続くと考えられるため、日頃からのセキュリティ対策が欠かせません。SMB1を無効にし、最新のセキュリティパッチを適用することで、サイバー攻撃の脅威からシステムを保護し、重要なデータを守ることができるでしょう。