5月12日に開始されワナクライ(WannaCry)、またはワナクリプト(WannaCrypt)、ワナディクリプター(WannaDecryptor)と呼ばれる地球規模のランサムウェア攻撃は、150カ国でおよそ20万台のコンピューターに被害を与えた。
しかし、ワナクライの被害は、はるかに深刻なものになっていた可能性がある。そうならなかったのは、サイバーセキュリティの専門家が被害の拡大を食い止めてくれたからだ。
12日に英国の多数の病院のコンピューターがハッキングされて機能停止になり、身代金の要求がスクリーンに表示されいるという噂がまだ飛び交っている最中のことだった。マルウェアテック(MalwareTech)というハンドルネームを持つ匿名の専門家が、ウィルスプログラムの拡散を食い止める作業をすでに進めていた。
ブログで報告されている通り、マルウェアテックはワナクライのコードに未登録のドメインが含まれているのを見つけた。ボットネットや他のマルウェアに共通する特徴から、ドメインとウイルスの伝染との関係を疑ったマルウェアテックは、ドメイン名を独自に登録して監視したところ、ウイルスに感染したコンピューターからのトラフィックが殺到。もう少しでホスト・サーバーがオーバーロードしそうな勢いだったという。通常この種の「シンクホール(陥没穴、sinkhole)」は、たとえば感染したシステムに間違ったコマンドを送るといった方法で、ボットネットの動きを邪魔する。
ワナクライのシンクホールは「キル・スイッチ(kill switch)」でもあることが判明した。URLに接触したあらゆるシステムは感染が成功したととして、ウィルスが自ら動作を停止したのだ。ワナクライは消え去ろうとしていた。
しかし、マルウェアテックの指摘通り、悪意を持ったプログラマーは容易にワナクライのコードを変更して、別のURLへの接続に切り替えることができる。そして、それは現実となった。14日には新しい変種が誕生し、ロシアの何千台ものシステムに感染した。この場合も別なサイバーセキュリティの専門家が素早く対応してくれたおかげで被害が大きくならずに済んだ。
その間に、マイクロソフトは異例の対応を取り、サポートが終了したWindowsの欠陥に対する緊急パッチの提供を開始した。ワナクライがWindowsの欠陥を突いていたからだ。米国国家情報局(NSA)は以前からこの脆弱性を認識していたが秘匿していたが、ハッキング集団のシャドウ・ブローカー(Shadow Brokers)が機密情報を盗み出し、リークしてしまった。
MIT Technology Reviewが以前指摘した通り、残念ながらランサムウェアがサイバー犯罪の主要な手口となるのには簡単な理由がある。儲かるのだ。 ランサムウェア攻撃を食い止めるのは、不可能とはいわないが、非常に難しいことでもある。 5月第2週のサイバー攻撃以外にも、 犯罪集団はサンフランシスコ公共交通システムの一部とロサンゼルスのある病院のシステムを機能停止にした。ロサンゼルスのケースでは、ファイルに再びアクセスできるようにするため、病院側は1万7千ドルの支払いを余儀なくされた。
ワナクライをプログラムした集団も同様に、手っ取り早く金を得ようとしていたが、奪った金の追跡はとても簡単だった。ワナクライのコードには3つのビットコイン・ウォレットのアドレスが含まれていたからだ。ツイッターの3つの口座の決済を追跡するボットによると、口座には15日午後時点で合計5万5千ドルを若干上回る金額があるという。
The three bitcoin wallets tied to #WannaCry ransomware have received 209 payments totaling 33.03734055 BTC ($55,426.46 USD).
— actual ransom (@actual_ransom) May 15, 2017
ビットコイン・ウォレットは厳しく監視されているため、専門家の中にはワナクライの黒幕が誰であれ、口座から金を引き出すという大それたことはしないだろうと推測する人もいる。正体がばれるのを恐れるからだ。くすねた金額も巨額なので、しばらく攻撃を控える可能性もある。確かに大金だ。しかし、被害額が実際よりはるかに膨大になっていた可能性はある。
(関連記事:Malware Tech, The Los Angeles Times, BBC, Quartz, “Holding Data Hostage: The Perfect Internet Crime?,” “Two Ways to Stop Ransomware in Its Tracks”)