はじめに
第4回となる本記事では、世界を震撼させた過去の甚大被害事例を「技術的」に解剖します。ニュースで報じられる「身代金額」や「事業停止」の裏側で、具体的にどのような脆弱性が突かれ、どのような挙動をしたのか。エンジニアが教訓として刻むべき技術的ポイントを整理します。
歴史を知ることは、未来の攻撃を予測する最良の手立てです。今回は、性質の異なる2つの巨大インシデントを深掘りします。
🦠 1. WannaCry (2017):ワーム型ランサムウェアの衝撃
2017年5月、世界150カ国以上、20万台以上の端末に感染したWannaCryは、ランサムウェアの歴史を塗り替えました。その最大の特徴は、**「人の操作を介さずに自己増殖する」**ワーム機能にありました。
🛠️ 技術的要因:SMBv1の脆弱性とEternalBlue
WannaCryが爆発的に拡散した背景には、Windowsのファイル共有プロトコル SMBv1 に存在した脆弱性(MS17-010 / CVE-2017-0144)の悪用がありました。
- EternalBlue: NSA(米国家安全保障局)から流出したとされるエクスプロイト。これを用いることで、ネットワーク上のパッチ未適用の端末に対し、リモートでコード実行(RCE)が可能でした
- DoublePulsar: 侵入後にバックドアを設置するツール。これにより、ランサムウェア本体の流し込みが行われました
🔍 拡散のメカニズム
- ランダムスキャン: 445番ポート(SMB)が開いている端末を探索
- 脆弱性攻撃: ターゲットを発見するとEternalBlueで攻撃
- 自己複製: 侵入した端末で自らを実行し、さらに別のターゲットを探索
💡 エンジニアの教訓
「パッチ管理は最強の防御」。WannaCry発生の2ヶ月前にMicrosoftはパッチを公開していましたが、アップデートを怠った組織が壊滅的な被害を受けました。
⛽ 2. Colonial Pipeline (2021):社会基盤を止めた「ID管理の欠如」
2021年5月、米最大の石油パイプライン運営会社がDarkSideランサムウェアの攻撃を受け、数日間にわたり操業停止に追い込まれました。この事例は、高度な脆弱性攻撃ではなく**「ありふれた認証の隙」**が原因でした。
🛠️ 技術的要因:VPNアカウントの管理不備
後の調査で判明した侵入経路は、非常にシンプルなものでした。
- 流出したパスワード: 以前にどこかで漏洩していたVPNアカウントのパスワードが使い回されていました
- MFA(多要素認証)の未導入: 該当のアカウントには二要素認証が設定されていなかったため、パスワードだけで社内ネットワークへのフルアクセスを許してしまいました
⚠️ インシデントの連鎖
攻撃を受けたのはITネットワークでしたが、Colonial Pipeline社は「OT(制御技術)ネットワークへの感染拡大を恐れ、予防的に」パイプラインの稼働を停止しました。
これは**「ITとOTの分離」**が不十分な環境における、心理的な経営判断が社会インフラを止めた例と言えます。
💡 エンジニアの教訓
「多要素認証(MFA)のないVPNは、鍵を挿しっぱなしのドアと同じ」。また、ITネットワークの侵害が物理的な事業停止に直結しないよう、ネットワークのセグメンテーション(分離)が不可欠です。
📊 3. 事例から導き出す技術的チェックリスト
これら2つの事例から、私たちが今すぐ確認すべき項目は以下の通りです。
| 項目 | 確認すべきアクション | 学べる事例 |
|---|---|---|
| レガシープロトコル停止 | SMBv1などの古いプロトコルを無効化しているか? | WannaCry |
| パッチ適用 | 既知の重大な脆弱性(特にRCE系)を1ヶ月以内に塞いでいるか? | WannaCry |
| 認証の強化 | 全ての外部接続(VPN, RDP, SaaS)にMFAを導入しているか? | Colonial Pipeline |
| セグメント分離 | IT網がやられた際、OT網やバックアップ網を物理的・論理的に切り離せるか? | Colonial Pipeline |
📝 まとめ:技術は「基本」に回帰する
WannaCryのような高度な「脆弱性悪用」も、Colonial Pipelineのような「ID盗用」も、防ぐための手段は意外にも**「基本の徹底」**に集約されます。
- パッチを当てる
- 古いプロトコルを捨てる
- 多要素認証を必須にする
これらができていない環境に、どれだけ高価なセキュリティ製品を導入しても「穴の空いたバケツ」に水を注ぐようなものです。