実際に起こったサイバー攻撃について調べる(『サンドワーム ロシア最恐のハッカー部隊』を読んで)

今、セキュリティについて勉強していますが、実際にサイバー攻撃というものはどのようなものか知っておく必要があるかと思いました。
その中で、『サンドワーム　ロシア最恐のハッカー部隊』という本を読み、サイバーセキュリティの脆弱性について興味を持つようになり、今回は、特に注目すべき脆弱性であるCVE-2017-0144(EternalBlue)とCVE-2017-0145（EternalRomance）について調べてみたいと思いました。この脆弱性は、世界中で多大な被害を引き起こしたWannaCryやNotPetyaなどの攻撃に利用されました。

CVEについて

CVE（Common Vulnerabilities and Exposures）は、ソフトウェアやハードウェアのセキュリティ脆弱性を識別するための標準的な命名方式およびデータベースです。CVEシステムは、セキュリティ研究者、ソフトウェア開発者、システム管理者などが脆弱性情報を一貫した形式で共有し、追跡するために使用されます。

CVEの基本概念

1. 識別子（CVE-ID）:
• 各脆弱性には一意の識別子が割り当てられます。例えば、「CVE-2021-34527」は特定の脆弱性を示します。識別子は「CVE-年-番号」という形式を持ち、年は脆弱性が公開された年、番号はその年に登録された順番を示します。
2. 説明（Description）:
• 各CVEエントリには、その脆弱性の簡潔な説明が含まれます。これは、脆弱性が何であり、どのような影響を及ぼすかを示します。
3. 公開日（Published Date）:
• CVEが公開された日付が記載されます。
4. 参考リンク（References）:
• 脆弱性に関する詳細情報や修正情報を提供するリンクが含まれます。これには、ソフトウェアベンダーのセキュリティアドバイザリ、セキュリティ研究者のレポート、関連するセキュリティツールなどが含まれます。

CVE-2017-0144(EternalBlue)とは？

CVE-2017-0144は、WindowsのServer Message Block (SMB) v1プロトコルに存在するリモートコード実行の脆弱性です。この脆弱性を悪用するエクスプロイトEternalBlueは、NSA（アメリカ国家安全保障局）によって開発され、2017年にハッキンググループ「Shadow Brokers」によってリークされました。EternalBlueは、WannaCryやNotPetyaなどの大規模なサイバー攻撃に利用され、WindowsのSMBv1プロトコルの脆弱性を悪用しました。

技術的詳細

• 影響を受けるバージョン:
• Windows XP
• Windows 7
• Windows 8
• Windows 10
• Windows Server 2003
• Windows Server 2008
• Windows Server 2012
• Windows Server 2016

• 脆弱性の種類: リモートコード実行
• 脆弱性の概要: SMBv1プロトコルのバッファオーバーフローの脆弱性を悪用し、攻撃者は特別に細工されたSMBリクエストを送信することで、ターゲットシステムのメモリを破壊し、任意のコードを実行することが可能になります。

EternalBlueの影響

EternalBlueは、特に2017年のWannaCryおよびNotPetyaの攻撃で悪用され、世界中に甚大な被害をもたらしました。

WannaCryランサムウェア（2017年5月）
WannaCryはEternalBlueを利用して、ネットワーク内のWindowsマシンに自己複製し、ファイルを暗号化して身代金を要求するランサムウェアです。以下のような被害が報告されました：
• 数十万台のコンピュータが感染
• 被害総額は数十億ドル
• 多くの企業や公共機関が業務停止に追い込まれました

NotPetya（2017年6月）
NotPetyaは、ランサムウェアとして装いつつも、実際にはデータ破壊を目的とした攻撃でした。以下のような影響がありました：
• 主にウクライナをターゲットにしていましたが、影響は世界中に広がりました
• 企業のシステムが破壊され、甚大な経済的損失が発生しました

CVE-2017-0145: EternalRomanceとは？

CVE-2017-0145は、WindowsのSMBプロトコルに存在する別のリモートコード実行の脆弱性で、EternalRomanceと呼ばれるエクスプロイトに利用されました。この脆弱性もEternalBlueと同様に、NSAによって開発され、2017年にShadow Brokersによってリークされました。

技術的詳細

• 影響を受けるバージョン:
• Windows XP
• Windows 7
• Windows 8
• Windows 10
• Windows Server 2003
• Windows Server 2008
• Windows Server 2012
• Windows Server 2016
• 脆弱性の種類: リモートコード実行
• 脆弱性の概要: SMBプロトコルの処理における脆弱性を悪用し、攻撃者は特別に細工されたパケットを送信することで、ターゲットシステムで任意のコードを実行することができます。

EternalRomanceの影響

EternalRomanceは、EternalBlueと併用されることが多く、特に以下の攻撃でその威力を発揮しました。

• NotPetya（2017年6月）:
• NotPetyaは、EternalBlueとEternalRomanceの両方を利用して、ウクライナを中心に広範な被害をもたらしました。これにより、攻撃の拡散速度と影響範囲が増大し、多くのシステムが迅速に感染しました。

まとめ

CVE-2017-0144（EternalBlue）とCVE-2017-0145（EternalRomance）は、WindowsのSMBプロトコルの脆弱性を悪用するエクスプロイトであり、WannaCryやNotPetyaといった大規模なサイバー攻撃に利用されました。
これらの脆弱性に対する適切なパッチ適用、SMBv1の無効化、ネットワーク防御の強化は、重要な防御手段です。