「EternalBlue」は、Windows95とWindows10の間のすべてのWindowsオペレーティングシステムに存在するSMBv1の脆弱性に対してリークされたNSAが開発したエクスプロイトの名前です。 Server Message Blockバージョン1(SMBv1)は、ネットワークを介してファイル、プリンター、およびシリアルポートへのアクセスを共有するために使用される通信プロトコルです。
ヒント:NSAは、これや他のエクスプロイトやアクティビティがそれらに結び付けられる前は、以前は「EquationGroup」の脅威アクターとして識別されていました。
NSAは、少なくとも2011年にはSMBプロトコルの脆弱性を特定しました。 脆弱性を自社で使用するために備蓄するという戦略の下で、問題にパッチを適用できるように、脆弱性をマイクロソフトに開示しないことを選択しました。 その後、NSAは、EternalBlueと呼ばれる問題のエクスプロイトを開発しました。 EternalBlueは、ユーザーの操作を必要とせずに管理者レベルの任意のコードの実行を許可するため、脆弱なコンピューターを完全に制御できます。
シャドーブローカーズ
ある時点で、2016年8月より前に、NSAは、ロシアの国家が後援するハッキンググループであると信じられている「TheShadowBrokers」と名乗るグループによってハッキングされました。 Shadow Brokersは、大量のデータとハッキングツールにアクセスできるようになりました。 彼らは最初にそれらを競売にかけ、お金のためにそれらを売ろうとしましたが、ほとんど興味をもらえませんでした。
ヒント:「国が後援するハッキンググループ」とは、政府の明示的な同意、サポート、指示に従って、または政府の公式の攻撃的なサイバーグループのために活動する1人以上のハッカーです。 どちらのオプションも、グループが非常に適格で、対象を絞っており、行動において慎重であることを示しています。
NSAは、ツールが危険にさらされていることを理解した後、パッチを開発できるように脆弱性の詳細をMicrosoftに通知しました。 当初は2017年2月にリリースが予定されていましたが、問題が正しく修正されるように、パッチは3月にプッシュされました。 14日にNS 2017年3月、Microsoftはアップデートを公開し、EternalBlueの脆弱性は
1か月後の14NS 4月、Shadow Brokersは、他の数十のエクスプロイトと詳細とともに、このエクスプロイトを公開しました。 残念ながら、エクスプロイトが公開される前の1か月間パッチが利用可能であったにもかかわらず、多くのシステムはパッチをインストールせず、脆弱なままでした。
EternalBlueの使用
エクスプロイトが公開されてから1か月足らずで、12日にNS 2017年5月、「Wannacry」ランサムウェアワームは、EternalBlueエクスプロイトを使用して起動され、可能な限り多くのシステムに拡散しました。 翌日、Microsoftは、サポートされていないWindowsバージョン(XP、8、およびServer 2003)の緊急セキュリティパッチをリリースしました。
ヒント:「ランサムウェア」は、感染したデバイスを暗号化し、通常はビットコインやその他の暗号通貨の身代金の復号化キーを保持するマルウェアの一種です。 「ワーム」は、コンピュータを個別に感染させるのではなく、他のコンピュータに自動的に伝播するマルウェアの一種です。
によると IBM X-Force 「Wannacry」ランサムウェアワームは、このエクスプロイトがWindows7とServer2008でのみ確実に機能したにもかかわらず、150か国で80億米ドルを超える損害をもたらしました。 2018年2月、セキュリティ研究者は、Windows 2000以降、すべてのバージョンのWindowsで確実に動作できるようにエクスプロイトを変更することに成功しました。
2019年5月、米国ボルチモア市はEternalBlueエクスプロイトを利用したサイバー攻撃に見舞われました。 サイバーセキュリティの専門家の多くは、パッチが利用可能であったため、この状況は完全に防止可能であると指摘しました。 その時点で2年間、少なくとも「パブリックエクスプロイト」を含む「クリティカルセキュリティパッチ」が存在するはずだった期間 インストールされています。