EternalBlue（エターナルブルー）ってなんだったっけ？という話。脆弱性？ツール？

当ページのリンクには広告が含まれています。

2018年8月7日2020年7月9日

仕事中にPCセキュリティ周りの話でEternalBlue（エターナルブルー）という話がでて、はてなんだったけ？それ。となったので記録のために残しておく。

EternalBlueとは

結論、EternalBlueはツールであり脆弱性のエクスプロイドである。どうやら米国家安全保障局（NSA）が開発したツールらしい。（ほんとかよ！？）ただ、複数のセキュリティブログにも同様のことが記載されているので信憑性としては高そう。

このツールは具体的にはMS17-010で修正された脆弱性を突くらしい。CVS番号としてはCVE-2017-0146。具体的な攻撃手法についてはトレンドマイクロブログが大変参考になる。

超絶簡潔に書くとSMB v1の仕組みのカーネル空間でバッファオーバーフローを発生させてデータを書き換えるって感じらしい。詳しいことはわかりません。

対策方法はWindowsアップデート。上記のMS17-010を当てれば大丈夫らしい。Windows defenderでも検知できるようになっている。今時1年前の脆弱性のパッチ当ててない人なんておらんやろって思いますけど、実は結構まだいるみたい。

ISPから警告がきたと思ったら自分のPCがBOTになっていたとかね。

ここが私が超絶勘違いしていたポイント。WannaCryはランサムの名前であって脆弱性の名前ではない。別にWannaCryはオリジナルでエクスプロイドを見つけて作成されたわけじゃない。

結局WannaCryは拡散方法としてEternalBlueの方法（脆弱性）を使用しているってこと。

私はなんか勘違いしていました。WannaCryはSMBの脆弱性を突いてやってくるっていうのは知っていたけど、EternalBlueって名前付いている脆弱性を使っているということまでは知らなかった。

言い訳すると、WannaCryって名前は当時仮想通貨の兼ね合いもあって有名になって、ファイルが暗号化されるや、仮想通貨を要求されると話題になったけど、攻撃手法に付いてはあまりメディアには出ていなかったと記憶している。

とりあえずWindowsアップデートをしましょうというニュースが日々流れていましたよね。まあ正直世間一般の人は攻撃される内容と防ぐ内容は興味あるけど具体的にどんな風に攻撃されるのかとか、その攻撃手法に名前が付いているかなんて気にしないと思う。

まとめもくそもないですが、ツールの名前とか脆弱性の名前とか関係性はしっかり把握しておこうってことですね。EternalBlueはパッとググった時にゲームの記事ばっかり出てきたのでなんじゃらぽんって感じだったので一応まとめておいた。

というか、検索した時に他のネタと被る様な名前をつけるのやめましょうよ！w

よかったらシェアしてね！

どうもZuxikkuです。
日本語だとズィックだとかジックって呼ばれています。
外国の方だとズクシーとか。ガジェットとか新しいもの大好き。