EternalBlue(エターナルブルー)ってなんだったっけ?という話。脆弱性?ツール?

EternalBlue(エターナルブルー)ってなんだったっけ?という話。脆弱性?ツール?

仕事中にPCセキュリティ周りの話でEternalBlue(エターナルブルー)という話がでて、はてなんだったけ?それ。となったので記録のために残しておく。

EternalBlueとは

結論、EternalBlueはツールであり脆弱性のエクスプロイドである。どうやら米国家安全保障局(NSA)が開発したツールらしい。(ほんとかよ!?)ただ、複数のセキュリティブログにも同様のことが記載されているので信憑性としては高そう。

このツールは具体的にはMS17-010で修正された脆弱性を突くらしい。CVS番号としてはCVE-2017-0146。具体的な攻撃手法についてはトレンドマイクロブログが大変参考になる。

超絶簡潔に書くとSMB v1の仕組みのカーネル空間でバッファオーバーフローを発生させてデータを書き換えるって感じらしい。詳しいことはわかりません。

対策方法

対策方法はWindowsアップデート。上記のMS17-010を当てれば大丈夫らしい。Windows defenderでも検知できるようになっている。今時1年前の脆弱性のパッチ当ててない人なんておらんやろって思いますけど、実は結構まだいるみたい。

ISPから警告がきたと思ったら自分のPCがBOTになっていたとかね。

WannaCryとの関係

ここが私が超絶勘違いしていたポイント。WannaCryはランサムの名前であって脆弱性の名前ではない。別にWannaCryはオリジナルでエクスプロイドを見つけて作成されたわけじゃない。

結局WannaCryは拡散方法としてEternalBlueの方法(脆弱性)を使用しているってこと。

私はなんか勘違いしていました。WannaCryはSMBの脆弱性を突いてやってくるっていうのは知っていたけど、EternalBlueって名前付いている脆弱性を使っているということまでは知らなかった。

言い訳すると、WannaCryって名前は当時仮想通貨の兼ね合いもあって有名になって、ファイルが暗号化されるや、仮想通貨を要求されると話題になったけど、攻撃手法に付いてはあまりメディアには出ていなかったと記憶している。

とりあえずWindowsアップデートをしましょうというニュースが日々流れていましたよね。まあ正直世間一般の人は攻撃される内容と防ぐ内容は興味あるけど具体的にどんな風に攻撃されるのかとか、その攻撃手法に名前が付いているかなんて気にしないと思う。

まとめ

まとめもくそもないですが、ツールの名前とか脆弱性の名前とか関係性はしっかり把握しておこうってことですね。EternalBlueはパッとググった時にゲームの記事ばっかり出てきたのでなんじゃらぽんって感じだったので一応まとめておいた。

というか、検索した時に他のネタと被る様な名前をつけるのやめましょうよ!w

参考

ランサムウェア「ワナクライ」と脆弱性攻撃ツール「エターナルブルー」 | マルウェア情報局
WannaCry」を拡散させた脆弱性攻撃「EternalBlue」の仕組みを解説 | トレンドマイクロ セキュリティブログ
日本マイクロソフト、WannaCry対策ガイダンス公開。Windows 10に影響なし、Defenderは最新定義で対応済 – Engadget 日本版

ITネタカテゴリの最新記事