ランサムウエア攻撃には手を焼く。殆どのファイルを無くしたこともあった。
自宅が仕事場、サイバー攻撃から世界を救った“若き戦士”
2017.7.20 05:00 SankeiBiz
6月27日、英国北西部の港町イフラクームにある自宅で眠っていたマーカス・ハッチンズ氏(23)は、同僚からの電話で目を覚ました。
同氏は今年5月にランサムウエア(身代金要求ウイルス)「ワナクライ」によるサイバー攻撃から世界を救った人物。
電話は新たなサイバー攻撃の進展を告げるものだった。
ワナクライが復活した可能性を恐れながら、同氏は自分のコンピューターにログインし、最新リポートの調査を開始した。
その時点でウクライナの銀行、政府機関、そしてデンマークのコンテナ海運大手APモラー・マースクやロシア最大の石油企業ロスネフチを含むグローバル企業など、80カ所以上がランサムウエアの攻撃を受けていた。
ハッチンズ氏は20分以内にそのマルウエアのサンプルを手に入れ、それがワナクライではないことを確認してひとまず安心した。
予兆となる微動調査
新たなマルウエア「ペトヤ」の攻撃は、マイクロソフトの基本ソフト(OS)、ウィンドウズの脆弱性を突いた点ではワナクライと同じだった。
だが、ワナクライの被害がインターネットを介して雪だるま式に拡大し世界150カ国の数十万台ものコンピューターに感染したのに対し、ペトヤの攻撃はよりターゲットが狭くローカルネットワークに限定されていて、毒性が弱いものだった。
ハッチンズ氏らサイバーセキュリティーの研究者たちは、さながら地震学者のように、インターネットの中で新たな攻撃の予兆となる微動を調査している。
同氏はペトヤの件では傍観者だったが、5月に発生したワナクライの攻撃を食い止めたのは、まぎれもなく彼だった。
当時、1週間の休暇を取る予定だった同氏は、友人からワナクライの攻撃が猛威を振るっているという連絡を受け、放っておけずに自宅に戻った。
事後のインタビューで、
「英国の国民健康保険サービスのトラスト(独立運営している医療サービス機関)の多くが攻撃を受けるという前代未聞の出来事だった。攻撃が自己増殖しており、重大な危険信号だと感じた」
と述べている。
通常、ランサムウエアは電子メールの添付ファイルという形で送り付けられ、それを開封すると感染する。
ハッチンズ氏は、わずか数日間で数千人の医療サービス機関の職員がこの種の電子メールをクリックするとは考えられなかったという。
そこでこのマルウエアのサンプルを分析したところ、これが米国家安全保障局(NSA)が開発した高度なハッキングツールの一部であるシステム攻撃ソフト「エターナルブルー」を悪用したマルウエアであることが分かった。
エターナルブルーはハッカー集団シャドー・ブローカーズがNSAから盗み出したとされており、4月にインターネット上に流出していた。
ハッチンズ氏はまた、このマルウエアの中に、ある未登録のドメイン名の存在を検証するコードが埋め込まれていることにも気づいた。
同氏はただちにこのドメインを8.5ポンド(約1240円)で購入し、不正なデータを捕獲するサーバー(いわゆるシンクホール)にすべてのトラフィック(通信)をリダイレクト(転送)して、攻撃の展開を監視しようとした。
同氏は気づいていなかったが、実は、そのドメインを有効化することがワナクライの停止スイッチだった。
「そのときは
『よし、これで追跡できる』
と思っただけで、攻撃を停止させたとは思わなかった」
と同氏は話す。その後、ワナクライの攻撃は終息した。
自宅が仕事場
もじゃもじゃの巻き毛に、だぶだぶのジーンズ、Tシャツ、スニーカーという姿のハッチンズ氏は、英雄のようには見えない。
12歳でプログラミングを覚えると、趣味としてボットネット攻撃の追跡や妨害を始め、10代の頃から「マルウエアテック」と名乗ってブログを運営してきた。
そして2015年にセキュリティー企業クリプトス・ロジック(米サンフランシスコ)に採用された。
同居している両親や友人は、ワナクライの件があるまで同氏が家で仕事をしていることを知らなかったという。
ハッチンズ氏は、自宅オフィスからオンラインでハッカーやサイバー犯罪との戦いに参加する、セキュリティー研究者やブロガーのコミュニティーの一員だ。
近年のサイバー攻撃の増加を受けて、各国の政府や企業がこのコミュニティーの力を必要としており、20代前半の若者を数十万ドルの報酬で雇うこともある。
ハッチンズ氏のブログを読んで採用を決めたクリプトスのサリム・ネイノ最高経営責任者(CEO)は
「ハッチンズ氏には天賦の才能がある。彼が難しい問題を解決していたのは明らかであり、しかも金銭的報酬を目的にしていなかった。これは優れたサイバー兵士の重要な特徴だ」
と述べている。
(ブルームバーグ Gavin Finch)