「Shadow Brokers」がWindows などを狙う攻撃ツールを公開。各企業への影響は

Microsoftは、2017年4月14日（米国時間）、「Shadow Brokers」と呼ばれるハッカー集団がハッキングツールや攻撃コード（エクスプロイトコード）を公開したのを受けて、同社による調査結果を公表しました。公になったツールのほとんどに既に対処済みであることを明らかにしました。

Shadow Brokers が今回公開したハッキングツールやエクスプロイトコードには、Microsoft Windows および Windows Server を狙うものが含まれていました。また、一部報道によると、世界規模で使用されているバンキングシステムを狙ったツールも確認されました。今回公開されたツール等が利用された場合、オペレーティングシステム（OS）ではWindowsだけでなくLinuxへも影響し、攻撃者によるネットワークへの侵入やファイアウォールの突破の恐れがあります。

このハッカー集団は、2016年8月にサイバー攻撃集団「Equation」から入手したマルウェアや攻撃ツールを、インターネット上でオークション形式で販売しようと画策しました。しかし、失敗に終わり、今年1月に活動の停止を宣言すると同時に、Windowsを狙うハッキングツールの公開もしていました。

■影響を受けるオペレーティングシステムとプラットフォーム
トレンドマイクロは、公開情報を元に解析を現在も継続しており、35以上の情報収集型マルウェアを確認しています。公開情報には、エクスプロイトコードを実行してネットワークに侵入するためのフレームワーク ”Fuzzbunch” をはじめ、オペレーティングシステム（OS）やサーバの脆弱性を突くエクスプロイトコードが含まれていました。

以下は、ハッキングツールが利用する脆弱性の一部です。

上記の他、Microsoft によって対処済みのエクスプロイトコードには、Windows Vista のリリース前に修正された脆弱性を利用する「ErraticGopher」と、他に「EternalRomance」および「EternalSynergy」が挙げられます。「EternalRomance」と「EternalSynergy」は、Windows SMBサーバのセキュリティ上の不具合を悪用するエクスプロイトコードで、2017年3月にMS17-010で修正済みとなっています。

ハッキングツールの中には、攻撃を実行するために複数の脆弱性を利用するものが含まれます。そのような脆弱性の多くは比較的古く、中には2008年に確認されたものも含まれており、更新プログラムも公開済みです。「Microsoft Security Response Center （MSRC）」は、Shadow Brokers による最新の公開情報に確認されたエクスプロイトコードが利用する脆弱性の更新プログラムの詳細について、セキュリティアドバイザリで速やかに報告しています。

トレンドマイクロでは、Shadow Brokers が公開したエクスプロイトコードおよびマルウェアを以下として検出します。

• TROJ_EASYBEE.A
• TROJ_EDUSCHO.A
• TROJ_EFRENZY.A
• TROJ_EQUATED.G （複数の亜種あり）
• TROJ_ETERNALROM.A
• TROJ_EXCAN.A
• TROJ_STUXNET.LEY
• TROJ64_EQUATED.E

影響を受けるプラットフォームには、専用メールサーバ、Webメールクライアント、企業や組織内の情報共有に利用されるシステムソフトウェアなどが含まれることを確認しています。Windows 2000（サーバ用およびクライアント用）、Windows XP、Windows Server 2003、Windows Vista、Windows 7、Windows 8、Windows Server 2008、および Windows Server 2008 R2 は、インターネットプロトコルとネットワークプロトコルを利用する攻撃の影響を受けます。これには、インターネット・メッセージ・アクセス・プロトコル（IMAP）、ネットワーク認証プロトコル（Kerberos）、リモート・デスクトップ・プロトコル（RDP）、リモートプロシージャコール（RPC）などが挙げられます。

■企業に与える影響
これらの脅威に対処するには、更新プログラムの適用が極めて重要です。 Shadow Brokers の最新の公開情報に含まれるエクスプロイトコードの多くは、更新プログラム公開済みの脆弱性を利用するため、企業は十分に攻撃を回避することが可能です。

一方で、多くの企業や組織、特に現在でも Windows 8 および 8.1、XP、Vista、2000、および Windows Server 2008 を利用している企業にとっては、依然として注意しなければならない脅威となります。Windows Server 2003 を利用している企業の場合では、Microsoftによるサポートが2年前に終了しているため、リスクは深刻化したと言えます。

ハッキングツールが狙う脆弱性は、メール関連ソフト、ビジネス関連ソフトのプラットフォーム、特に職場での共同作業を管理するプラットフォームの脆弱性です。Windows Server OS は、世界中のあらゆる業界の多くの企業にとって、ネットワーク、データ、アプリケーションインフラストラクチャの不可欠な一部となっています。

当初の報道によれば、公開されたエクスプロイトコードやハッキングツールは、主に国際的な銀行を対象としたものと伝えられています。しかし、これらのマルウェアを入手できるサイバー犯罪者であれば、他のプラットフォームや最新の OSを追加するなど、狙った対象に合わせてマルウェアをカスタマイズすることができます。

■被害に遭わないためには
今回報告した Shadow Brokers だけでなく、マルウェアを利用して企業に危害を及ぼす集団は多く存在します。彼らは、企業や組織の運営を妨害し信用を失墜させ、甚大な被害を与えます。これらの脅威から企業を保護する確実な一つの対策はなく、多層的かつ段階的な対策を取ることがリスク軽減の鍵です。

IT およびシステム管理者は、ファイアウォールの導入に加え、トラフィックを検証できる侵入防御および検出システムを導入することにより、不審な、あるいは悪意のあるトラフィックが企業のネットワークに侵入するのを防ぐことができます。情報技術とセキュリティの専門家は、ユーザが企業のデータやリソースにリモートでアクセスする際には「仮想プライベートネットワーク（Virtual private Network、VPN）」の使用を義務付けることによって、リモート接続をさらに安全にできます。特に必要がない限り、「Server Message Block (SMB）」のバージョン１などの不要なプロトコルやコンポーネント、またはそれらを使用するアプリケーションを無効にすることによって、攻撃されるリスクを縮小することができます。また、サイバーセキュリティについての従業員への教育は、この脅威に類似した攻撃、特にソーシャルエンジニアリングの手法を伴う攻撃による被害を軽減するのに役立ちます。

リモート接続についてセキュリティレベルを追加することによっても、保護を強化できます。ネットワークレベルの認証、ユーザ権限の制限、ユーザのログインの試行回数制限、暗号化された接続が可能になるリモートデスクトップゲートウェイの使用などが挙げられます。

ハッキングツールやエクスプロイトコードは、脆弱性を利用してシステムやサーバに侵入します。OS　とソフトウェアを最新の状態に保ち、仮想パッチを適用し、しっかりとした更新プログラム管理方針を導入することで、脆弱性を利用する攻撃から企業を保護することができます。また、企業で使用するインフラを最新のサポート対象の OSにアップデートし、サポートが終了したソフトウェアに起因するリスクを軽減することも検討してください。

■トレンドマイクロの対策
サーバ向け総合セキュリティ製品「Trend Micro Deep Security™」をご利用のお客様は、このような脆弱性を利用する脅威から保護されています。また、弊社のネットワーク挙動監視ソリューション「Deep Discovery™ファミリー」のサンドボックスやファイル解析エンジンにより、他のエンジンやパターンの更新がなくても、この脅威をその挙動で検出することができます。

ネットワーク型対策製品「Deep Discovery™ Inspector」は、以下の DDIルールによってこの脅威を検知します。

• DDI Rule 140 – OPS_MS08-067_Server_Service_Path_Canonicalization_Exploit
• DDI Rule 0 – MS09-050_SMB2_DENIAL_OF_SERVICE
• DDI Rule 140 – OCS_CVE-2009-3103_SMB_REMOTE_CODE_EXECUTION_EXPLOIT
• DDI Rule 0 – SMB_MS10-061_Print_Spooler_Service_Impersonation_Exploit
• DDI Rule 2378 – EXAMINE Buffer Overflow – IMAP4 (Response)
• DDI Rule 2384 – EQUATED Exploit – SMB (Request)
• DDI Rule 1791 – Possible MS14-068_KERBEROS Checksum Vulnerability
• DDI Rule 2377 – Remote Code Execution Vulnerability – RDP
• DDI Rule 2380 – CVE-2017-0147 – Information Disclosure Exploit – SMB (Request)
• DDI Rule 2382 – CVE-2017-0145 – Remote Code Execution – SMB (Request)
• DDI Rule 2381 – CVE-2017-0146 – Remote Code Execution – SMB (Request)
• DDI Rule 2383 – CVE-2017-0144 – Remote Code Execution – SMB (Request)
• DDI Rule 2357 – CVE-2017-7269 – WebDAV Buffer Overflow – HTTP (Request)
• DDI Rule 2379 – CRAM-MD5 Authentication Buffer Overflow – IMAP4 (Response)

ネットワークセキュリティ対策製品「TippingPoint」では、以下のMainlineDV filterにより今回の脅威をブロックします。

• 27928: SMB: Microsoft Windows SMB Remote Code Execution Vulnerability (EternalBlue)
• 27929: SMB: Microsoft Windows SMB Remote Code Execution Vulnerabilities (EternalChampion)
• 27932: SMB: Microsoft Windows SMB Remote Code Execution Vulnerability (ErraticGopher)
• 27933: RDP: Microsoft RDP Malformed Connect Request Packet (EsteemAudit)
• 27935: SMB: DoublePulsar Backdoor
• 27937: SMB: Microsoft Windows SMB NT_TRANSACT_RENAME Information Disclosure Vulnerability (EternalSynergy)
• 27938: SMTP: Red Hat Sendmail Keywords Remote Code Execution Vulnerability (EarlyShovel)
• 27939: MS-RPC: Windows Spooler Service File Write of an Executable (EmeraldThread)
• 27940: TCP: MIT Kerberos Suspicious AS-REQ Request (EskimoRoll)
• 6515: MS-RPC: Microsoft Server Service Buffer Overflow Vulnerability (EclipsedWing)
• 9317: MS-RPC: Microsoft Server Service Buffer Overflow (ELV)
• 4033: IMAP: CRAM-MD5 Authentication Buffer Overflow (ZDI-07-011)
• 27643: HTTP: Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow Vulnerability (ExplodingCan)
• 8645: SMB: Windows SMB Remote Code Execution

参考記事：

• 「Shadow Brokers Leaks Hacking Tools: What it Means for Enterprises」
  by Trend Micro

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）