EternalBlueとは何ですか？

「EternalBlue」は、Windows95とWindows10の間のすべてのWindowsオペレーティングシステムに存在するSMBv1の脆弱性に対するリークされたNSA開発エクスプロイトの名前です。サーバーメッセージブロックバージョン1、またはSMBv1は、アクセスを共有するために使用される通信プロトコルです。ネットワークを介してファイル、プリンター、およびシリアルポートに接続します。

ヒント：NSAは、これや他のエクスプロイトやアクティビティがそれらに結び付けられる前に、以前は「EquationGroup」の脅威アクターとして識別されていました。

NSAは、少なくとも2011年にはSMBプロトコルの脆弱性を特定しました。脆弱性を自社で使用するために備蓄するという戦略の下で、問題を修正できるように、脆弱性をMicrosoftに開示しないことを選択しました。その後、NSAは、EternalBlueと呼ばれる問題のエクスプロイトを開発しました。EternalBlueは、ユーザーの操作を必要とせずに管理者レベルの任意のコードの実行を許可するため、脆弱なコンピューターを完全に制御できます。

シャドーブローカーズ

ある時点で、2016年8月より前に、NSAは、ロシアの国家が後援するハッキンググループであると信じられている「TheShadowBrokers」と名乗るグループによってハッキングされました。Shadow Brokersは、大量のデータとハッキングツールにアクセスできるようになりました。彼らは当初、それらを競売にかけ、お金で売ろうとしましたが、ほとんど関心がありませんでした。

ヒント：「国が後援するハッキンググループ」とは、政府の明示的な同意、サポート、指示に従って、または政府の公式の攻撃的なサイバーグループのために活動する1人以上のハッカーです。どちらのオプションも、グループが非常に適格で、対象を絞っており、行動において慎重であることを示しています。 

NSAは、ツールが危険にさらされていることを理解した後、パッチを開発できるように脆弱性の詳細をMicrosoftに通知しました。当初は2017年2月にリリースが予定されていましたが、問題が正しく修正されるように、パッチは3月にプッシュされました。2017年3月14日に、マイクロソフトは更新プログラムを公開しました。EternalBlueの脆弱性は、Windows Vista、7、8.1、10、Server 2008、Server 2012、およびServer2016のセキュリティ情報MS17-010で詳しく説明されています。

1か月後の4月14日、Shadow Brokersは、他の数十のエクスプロイトと詳細とともに、このエクスプロイトを公開しました。残念ながら、エクスプロイトが公開される前の1か月間パッチが利用可能であったにもかかわらず、多くのシステムはパッチをインストールせず、脆弱なままでした。

EternalBlueの使用

エクスプロイトが公開されてから1か月足らずで、2017年5月12日に、EternalBlueエクスプロイトを使用して「Wannacry」ランサムウェアワームが起動され、可能な限り多くのシステムに拡散しました。翌日、Microsoftは、サポートされていないWindowsバージョン（XP、8、およびServer 2003）の緊急セキュリティパッチをリリースしました。

ヒント：「ランサムウェア」は、感染したデバイスを暗号化し、通常はビットコインやその他の暗号通貨の身代金の復号化キーを保持するマルウェアのクラスです。「ワーム」は、コンピュータを個別に感染させるのではなく、他のコンピュータに自動的に伝播するマルウェアのクラスです。

IBM X-Forceによると、このエクスプロイトはWindows7とServer2008でのみ確実に機能しましたが、「Wannacry」ランサムウェアワームは150か国で80億米ドルを超える損害をもたらしました。2018年2月、セキュリティ研究者はエクスプロイトを次のように変更することに成功しました。 Windows2000以降のすべてのバージョンのWindowsで確実に動作できるようになります。

2019年5月、米国ボルチモア市はEternalBlueエクスプロイトを利用したサイバー攻撃に見舞われました。多くのサイバーセキュリティ専門家は、パッチがその時点で2年以上利用可能であり、少なくとも「パブリックエクスプロイト」を備えた「クリティカルセキュリティパッチ」をインストールする必要があったため、この状況は完全に防止できると指摘しました。