2年前、史上最悪と言われたランサムウェア「ワナクリプター（WannaCryptor）別名、『ワナクライ(WannaCry）』」 が大流行。その犯人は「エターナルブルー（EternalBlue）」として知られるエクスプロイトと推測される。この悪名高きマルウェアが発生して以来、エクスプロイトを用いた攻撃は増加傾向にある。現在のところ、毎日数十万件もの攻撃がおこなわれており、その件数は過去最高レベルに達している。

「エターナルブルー」エクスプロイトは、「シャドーブローカーズ（Shadow Brokers）」 というグループにより、2016年に米国国家安全保障局（NSA）から盗み出されたと言われる。その後、2017年4月14日にオンライン上に流出するに至った。このエクスプロイトは445番ポート経由で、マイクロソフト社によるサーバーメッセージブロック（SMB）プロトコルの実装に存在する脆弱性を突く。2017年にワナクリプターが大流行するよりも前に、マイクロソフト社はこのバグを公表し、パッチの配布を開始した。しかし、最善の努力を尽くしたにもかかわらず、パッチが適用されていないシステムは今でも多数存在している。

Webサービス「SHODAN」のデータによると、現在ユーザー環境において古いSMB v1プロトコルを利用し、インターネットにポートを公開しているコンピューターは約100万台にも及ぶ。このようなデバイスが最も多く存在しているのは米国であり、日本とロシアがこれに続いている。

2017年初めに「エターナルブルー」エクスプロイトがオンラインで流出して以来、これを悪用した攻撃が増加傾向にあるのは、セキュリティ対策が不十分であることや、パッチが適用されていないためと思われる。

ESETのテレメトリデータによると、「エターナルブルー」による攻撃は毎日数十万件にも上り、過去最高を記録している（図1を参照）。

図1 「エターナルブルー」の検出数の動向（ESET LiveGrid®より）

ESETのクライアントはエクスプロイトによる攻撃を毎日何千件も受けている。そのクライアント数にも、同じような動向が見られる（図2を参照）。

図2 「エターナルブルー」エクスプロイトによる攻撃を受けたクライアント数の動向（ESET LiveGrid®より）

「エターナルブルー」エクスプロイトは悪用されるだけではない。社内のセキュリティ対策として活用されるケースも増えてきている。脆弱性を悪用する最も一般的なツールであるこのエクスプロイトは、企業ネットワーク内における脆弱性検出の手段として企業のセキュリティ部門で使用することができるのだ。

「エターナルブルー」は、他にも注目を集めたサイバー攻撃で用いられてきた。ワナクリプター以外にも、破壊的な被害をもたらした「ディスコーダー（Diskcoder.C、別名『ペトヤ（Petya）』」、「ナットペトヤ （NotPetya）」、「エクスペトヤ（ExPetya）」攻撃、2017年におこなわれた「バッドラビット(BadRabbit）」と呼ばれるランサムウェア攻撃などが該当する。そのほかにも、ホテルのWi-Fiネットワークの攻撃に、「セドニット（Sednit、別名『APT28』）、「ファンシーベア（Fancy Bear）」、「ソファシー（Sofacy）」といった有名なAPTグループによる使用もわかっている。

ワナクリプターが大流行するよりもかなり前に、トロイの木馬や仮想通貨を盗み出すマルウェアが、脆弱性を悪用して攻撃をおこなっていた。最近、中国ではトロイの木馬やマルウェア拡散のために、「エターナルブルー」が利用されている。さらに、攻撃者は「エターナルブルー」を新たなRaaS（ランサムウェア・アズ・ア・サービス）である「ヤトロン（Yatron）」の拡散メカニズムとして宣伝している。

この「エターナルブルー」エクスプロイトを用いたサイバー攻撃の頻発は、即時的なパッチ適用の重要性を改めて突きつけている。さらに、悪意のあるペイロードをブロックするだけでなく、背後にあるメカニズムの防御といった、多層防御が可能な信頼できるセキュリティ製品が求められていることを如実に示しているともいえよう。