脆弱性
EternalBlue (CVE-2017-0144)
別称: MS17-010, CVE-2017-0144
定義
2017 年に発見された Microsoft SMBv1 のリモートコード実行脆弱性に対する NSA 開発のエクスプロイト。Shadow Brokers が流出させ、WannaCry や NotPetya に利用された。
EternalBlue(CVE-2017-0144)は Microsoft の SMBv1 実装に存在するリモートコード実行脆弱性で、ネットワーク上の未認証攻撃者がほとんどの当時サポート対象 Windows でカーネルレベルのコード実行を可能にしました。本来は NSA の攻撃ツールで、2017 年 4 月に Shadow Brokers によって公開され、5 月の WannaCry、6 月の NotPetya の伝搬エンジンとなり、世界中で数十億ドル規模の被害をもたらしました。Microsoft は 2017 年 3 月に MS17-010 を公開し、WannaCry を受けて Windows XP にもバックポートしました。対策は MS17-010 適用、SMBv1 の無効化、ネットワーク分割、境界での SMB ブロックです。
例
- WannaCry が EternalBlue を用いて企業 Windows ネットワーク内でワームのように拡散する。
- NotPetya が EternalBlue で組織内に拡散した後、データを破壊する。
関連用語
ランサムウェア
被害者のデータを暗号化したりシステムをロックしたりし、復旧と引き換えに金銭を要求するマルウェア。
ワイパー型マルウェア
金銭目的ではなく、データ・ファームウェア・ブートレコードを不可逆的に消去・破壊することを主目的とする破壊的マルウェア。
コンピュータワーム
宿主ファイルや利用者の操作を必要とせず、ネットワーク上で自律的に自己複製・拡散するマルウェア。
CVE(共通脆弱性識別子)
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。
既知の悪用された脆弱性(KEV)
実環境での悪用が CISA(米国)によって確認され、公開 KEV カタログに追加された CVE。米連邦機関に対する修正期限の対象となる。
エクスプロイト
脆弱性を悪用して、コード実行・権限昇格・情報漏えいなど意図しない動作を引き起こすコード、データ、または手法。