CECILIE ARCURS/GETTY IMAGES

単独で活動でき自己感染力をもつマルウェアの一種（ワーム）に悪用される恐れがある脆弱性「BlueKeep」についてマイクロソフトが明らかにしたのは、今年5月のことだった。そして数百万台のWindowsデヴァイスがリスクを抱えていると判明したとき、グローバルな攻撃が発生するのは時間の問題だとみられていた。

そして予想通り、ついにBlueKeepを利用した攻撃が発生した。しかし、これまでのところ最悪な事態には至っていない。

セキュリティ研究者たちは、マルウェアの発生を検出して分析するように設計されたハニーポットと呼ばれるおとりのマシンが、BlueKeepを利用した大規模な不正アクセスを受けている証拠を発見した。ハッカーはWindowsの画面共有機能「リモートデスクトッププロトコル（RDP）」に存在するこのバグを利用して、パッチが適用されていないマシンの完全なリモートコードの実行権限を獲得できる。

破滅的な結果をもたらす可能性

このバグは、これまで概念実証の目的でのみ利用されていたが、将来は破滅的な結果をもたらす可能性がある。2017年にWindowsマシンをターゲットにした別のワームであるランサムウェア「NotPetya」による攻撃は、世界中に100億ドル以上の損害をもたらした。

しかし現時点でのBlueKeepを狙ったハッキングは、仮想通貨（暗号通貨、暗号資産）のマイナー（発掘ツール）をインストールすることで、仮想通貨の“発掘”のためにマシンの処理能力を奪う程度にとどまっている。また、コンピューターからコンピューターへと自律的に感染するワームとは異なり、BlueKeepを用いた攻撃者は悪用できる脆弱なマシンを探すためにインターネットをスキャンしただけのようだ。そこから判断すると、現在の攻撃の波が世界的流行にまで拡大する可能性は低い。

「BlueKeepはしばらく前から存在していましたが、大規模に利用されている事例は初めて見ました」と、セキュリティ企業Kryptos Logicのマルウェア研究者であるマーカス・ハッチンスは言う。彼はBlueKeepによる実行可能な概念実証環境を世界で初めて構築した研究者のひとりである。「攻撃者はターゲットを漁っているわけではありません。インターネットをスキャンしてエクスプロイトをばらまいているだけなのです」

パンデミックには遠く及ばない？

ハッチンスは、BlueKeepを利用したハッキングの発生を、同僚のセキュリティ研究者であるケヴィン・ボーモンから最初に聞いたという。ボーモンは自分のハニーポット用マシンが数日前からクラッシュしていることに気付いていた。それらのデヴァイスは、RDPが使用するポート「3389」のみをインターネットに開放していたため、ボーモンは直ちにBlueKeepを利用した攻撃を疑った。

次にボーモンは、クラッシュしたマシンから取得したクラッシュダンプのデータを、証拠としてハッチンスに共有した。ハッチンスはBlueKeepが原因であること、ハッカーが被害マシンに仮想通貨の採掘ツールをインストールしようとしていたことを確認した。その詳細は、Kryptos Logicのブログに掲載されている。

ハッチンスは、ハッカーがどの仮想通貨のマイニングを試みているかは、まだ突き止めていないと言う。また、標的となったマシンがクラッシュしている事実は、エクスプロイトの信頼性が低い可能性を示しているとも指摘している。ハッチンスによると、マルウェアの作成者は、オープンソースとして9月に公開されたハッキング・侵入テストフレームワーク「Metasploit」に含まれていたハッキング手法を使っていたようだ。

実際に何台のデヴァイスが影響を受けたのかは不明だが、現在のBlueKeepを狙った攻撃の発生は、多くの人が恐れていたパンデミックには遠く及ばないとみられている。「攻撃の急増は見られましたが、ワームによる被害といって想定していたレヴェルではありません」と、セキュリティ企業のRendition Infosecの創業者ジェイク・ウィリアムズは言う。「BlueKeepを狙ったハッキングは、まだ本格的な規模には達していません」

脅威は過ぎ去っていない

さらに大規模なBlueKeepを狙ったハッキングの波が発生していない事実は、BlueKeepという脆弱性に関するマイクロソフトの対応が奏功している可能性があるのだと、ウィリアムズは言う。だとすれば、予期せぬハッピーエンドになるかもしれない。

「ワームの発生がないまま時間が過ぎれば、より多くの人がパッチを適用し、脆弱なマシンの数が減少します」と、ウィリアムズは言う。「Metasploitのモジュールが公開されてから2カ月が経ちますが、まだ誰もこのモジュールを使ってワームを作成していないことを考えると、費用対効果を分析した結果、モジュールを“兵器化”することに大きな利益がなかったのだと思われます」

だが、数十万台ものWindowsマシンにBlueKeepが与えている脅威は、まだ過ぎ去ったわけではない。セキュリティ研究者でErrata Securityの創業者であるロブ・グラハムが実施したスキャンによると、8月の時点で約73万5,000台のWindowsコンピューターが脆弱な状態のままになっている。

また、いまなお残存するこの脆弱性を悪用する、より重大で悪性のマルウェアにそれらのマシンが攻撃される可能性はまだある。そして、それらはNotPetyaやWannaCryを手本にしたランサムウェアのようなかたちをとる可能性がある。WannaCryが2017年5月に拡散したときは、ほぼ25万台のコンピューターが感染し、40億から80億ドル相当の被害が発生した。

深刻な攻撃の前兆になる

一方で、BlueKeepを狙って仮想通貨の採掘ツールが広まっている現在の状況は、マイニングによってコンピューターがクラッシュしたりハイジャックされたりする人々にとっては不愉快な出来事になる。しかし最悪でも、差し迫るさらに深刻な攻撃の前兆になる程度だろう。

「BlueKeepを狙うエクスプロイトは、仮想通貨のマイニングに利用できるシステムを増やすには最適です」と、ハッチンスは言う。「しかし、誰かがどこかの段階でランサムウェアのワームを作成しているのかどうかに、必ずしも影響するわけではありません」

BlueKeepが最終的にもたらす被害が、最悪でもハッカーが多少の仮想通貨を採掘する手助けをする程度だったとしよう。そのときは、言ってみればインターネットが惨事を免れるということなのだ。

※『WIRED』によるハッキングの関連記事はこちら。