1. HOME
  2. ブログ
  3. Blog
  4. 海外ブログ
  5. SMBプロトコルに対する攻撃の大半は、EternalBlueを悪用を試みている

Info.

お知らせ

海外ブログ

SMBプロトコルに対する攻撃の大半は、EternalBlueを悪用を試みている

SMBプロトコルに対する攻撃の大半は、EternalBlueを悪用を試みている のページ写真 1

トピック: Attacks and Threat Actors

2022年5月11日、Jonathan Tanner

 SMB(Server Message Block)プロトコルは、ファイルやプリンタへの共有アクセスを容易にするもので、Windowsシステムで広く使われてきました。加えて、SMBを利用するネットワークに接続するLinuxやAppleシステムでも長年にわたって使われています。プロトコルの現在のバージョンは3.1.1ですが、最新のWindowsシステムでも後方互換性の機能があり、しかもこの機能は何年も前からデフォルトで有効になっています。

この後方互換性には気をつけなくてはなりません。なぜなら、古いバージョンのプロトコル、特にSMB v1には長年にわたって深刻な脆弱性があることが判明しているからです。システムが旧バージョンのプロトコルをサポートしている場合、これらの脆弱性を悪用した攻撃を受ける可能性があります。さらに、このプロトコルを攻撃者の格好のターゲットにするような新た脆弱性も見つかっています。例えば、バラクーダの研究者は、3カ月間行った最近の攻撃分析で、ポート445(最も一般的なSMBポート)に対する攻撃の91.88%がEternalBlueエクスプロイトを使用しようとしていたことを発見しました。

SMB プロトコルおよびその実装に対して、いくつかの脆弱性が存在し、野放しで悪用されています。そうした脆弱性の1つであるEternalBlueは2017年にメディアで大きく報じられました。この脆弱性を悪用する試み(そしておそらく成功)は現在も続いています。新しいオペレーティングシステムではデフォルトで無効になっていますが、レガシーマシンはいまだに数多く使われていますから、SMB v1に対するエクスプロイトを行う意味は十分あります。さらに、SMBのより新しいバージョンには別の脆弱性が存在する可能性があり、攻撃者は悪用できる脆弱性を常に探し出そうとしています。

うまくエクスプロイトされてしまうと、多岐にわたる影響を受ける可能性があります。特にEternalBlueの場合、システム全体、そしてそのシステムが置かれたネットワーク全体が危険にさらされるおそれがあります。SMBはイントラネットの一部であることが多いため、SMBを悪用しようと攻撃者はあらゆる手を尽くして防御を突破しようとします。

WannaCryをはじめとするEternalBlue攻撃

EternalBlue、EternalRomance、EternalChampionという3つの注目すべきSMB脆弱性が大きな話題を呼んだのは、ハッカー集団のThe Shadow Brokersが、米国家安全保障局(NSA)の一部とささやかれるEquation Groupから盗んだと主張する脆弱性群を公開したときです。EternalBlueは、このリークの別のツールであるDoublePulsarと共に使用され、WannaCryランサムウェアを広めたことで悪名高いものとなりました。この攻撃から2022年5月12日で丸5年、これらの脆弱性がいかに長い間、深刻な問題を引き起こしてきたかがわかります。EternalRomanceも、ランサムウェアのキャンペーンに悪用されました。BadRabbitとして知られるランサムウェアです。EternalChampionは、ごく一般的な情報窃盗およびバンキング型トロイの木馬TrickBotで使われ、マシンを感染させた後、ネットワークを通じて水平方向に攻撃を広げる際に広く使用されました。

数年前にパッチが提供されているにもかかわらず、EternalBlueは、SMBに対して最もよく試みられるエクスプロイトの1つであり、バラクーダの研究者が分析で観察したポート445(最も一般的なSMBポート)に対する攻撃の91.88%以上を占めています。そしてしばしば、ネットワーク防御を突破し、ローカルネットワーク内のSMBにアクセスするために、他の攻撃と組み合わせて使用されています。

WannaCryの場合、攻撃は設定ミスにより露出したSMBポート(最も一般的なのはポート445)を探すところから始まります。露出したポートが見つかると、脆弱なシステム上でEternalBlueを悪用してネットワーク全体にワームを広げ、感染させたマシンにランサムウェアを展開します。幸いだったのは、このランサムウェアには、ドメインという形で「キルスイッチ」が含まれていたことです。キルスイッチを有効にすれば、暗号化されてネットワークに広がることが防げます。あるセキュリティ研究者が解析中、このドメインが登録されていないことに気づきました。その後、研究者がこのドメインを登録したことで、攻撃の拡大を食い止めることができました。

新たな脆弱性

最近では、Eternal Silenceと呼ばれるキャンペーンがUPnPの脆弱性を悪用してルータを侵害しています。UPnP脆弱性をもつルータを侵害した後に、EternalBlueとEternalRedと呼ばれる2つの脆弱性を悪用してWindowsおよびLinuxシステムを攻撃しようとするのです。UPnPは、多くのルータに搭載されているポートフォワーディングを可能にする機能で、オンラインプレイを高速化するためにしばしばゲーム機と組み合わせて使用されます。ルータが提供するセキュリティの一部を手放し、代わりにネットワーク内の特定のシステムでより良い接続性を得るわけです。

SMBに関連する新しい脆弱性も定期的に発見されており、最近では、LinuxやAppleのシステムで頻繁に使用されているSMBプロトコルのオープンソース実装であるSambaに影響を与えるCVE-2021-44142が見つかっています。この脆弱性は、攻撃者がターゲットシステム上でコードを実行することを可能にし、パッチが適用されていないシステムにとっては深刻なリスクとなります。

パッチが適用されていなかったり、もはや適用できなかったりする古いシステムがある一方で、新たな脆弱性が発見されている現状において、SMBは攻撃者にとって格好のターゲットとなっています。脆弱性は、露出されたSMBポートから直接悪用されることもあれば、他の脆弱性と組み合わせて攻撃者が内部のSMBサービスにアクセスできるようにしたり、SMBを標的としたマルウェアを通したフィッシングというかたちで悪用されたりする可能性があります。

この脅威からいかに身を守るか

SMBはさまざまな脆弱性を狙われることが多いため、ソフトウェアやオペレーティングシステムのパッチを確実に適用し、常に最新のバージョンにしておくことが、こうした攻撃から身を守るための重要なステップとなります。

可能であれば、SMB v1のサポートを無効にすることで、古いマシンが狙われたときの脆弱性や攻撃の拡大を防げます。SMBが不要または使用されていないなら、システム上で完全に無効にすることで、攻撃対象領域を小さくできます。

適切に設定されたファイアウォールは、これらのポートへのアクセスをブロックし、悪用しようとする試みを検知・防止することで、SMBの脆弱性からの保護にも役立つ可能性があります。SMBリソースは一般に、ローカルネットワークの外では利用できないようにすべきです。ファイアウォールは、リソースを一般に公開するのではなく、リソースへのVPNアクセスを設定できるようにするという手もあります。概して、システムでもネットワークでも、SMBポートへのパブリック・アクセスを許可してはいけません。

 また、ファイルやリソースを共有するためのSaaSソリューションもあり、こうしたソリューションは一般的にSMBよりも安全で、セキュリティパッチの更新をユーザーやIT部門に依存するのではなく、自動的に処理する場合が多いです。このようなソリューションならば、ゼロトラスト・ネットワークアクセスや多要素認証など、より強固なセキュリティ対策も容易に導入できます。


あらゆるデバイス、あらゆる場所からゼロトラストアクセスを可能にします

原文はこちら:
Majority of attacks against SMB protocol attempt to exploit EternalBlue
May 11, 2022  Jonathan Tanner
https://blog.barracuda.com/2022/05/11/attacks-smb-protocol-eternalblue/

関連記事