NSAから漏洩したEternalBlueのエクスプロイトに関して、幾度の警告や世界的なサイバー攻撃事件の発生にも拘わらず、パッチをあてていないシステムはWannaMineのクリプトジャック犯のターゲットになっている。

EternalBlueのエクスプロイトに関する警告から1年半以上、クリプトマイニング犯に関する警告から約1年経過した今、新たな研究によりWannaMineマルウェアによるクリプトジャック攻撃が詳らかになった。

Cyber​​eason Nocturnus社の研究チームとボストンに拠点を置くサイバーセキュリティ会社のセキュリティ研究部長Amit Serper氏は、WannaMineのクリプトジャック犯の出現を確認した。研究者たちによると、コンピュータシステムのアクセス権を獲得する経路として「パッチをあてていないSMB（Server Message Block）サービスを利用し、奪取した高い権利からコード実行」して、更に他のシステムへ感染を広げていくものだった。

Serper氏はブログ記事で、「WannaMine もEternalBlueも新しいエクスプロイト手法ではありませんが、いまだにパッチをあてていないSMBサーバには未だに有効です。2017年3月にEternalBlue対策パッチをMicrosoft が配布したにも関わらずです」と警告した。

「企業がパソコンのパッチ作業とアップデートを終えるまで、単純な動機で犯人たちがエクスプロイトを続けるのを傍観することになるでしょう。連続犯行の手助けになるからです。防御機構に対策を施すこと、組織のセキュリティを段階的に強化することで犯行を困難にできるでしょう。特にEternalBlueに関係する脆弱性のパッチ作業はこの対策の一つに当たるでしょう」とSerper氏はブログ記事で述べた。

EternalBlueエクスプロイトは広く知られている通り2017年4月に発生した、Shadow BrokersがNSAのサイバー兵器をダンプした後、1か月も経たないうちに WannaCryランサムウェアが世界で猛威を振るい、パッチを当てていないシステムに感染した。しかしこれはEternalBlueのはじまりにすぎない事件だ。

GandCrabのように、EternalBlueは他のランサムウェアに組み込まれ、高速で感染するようになった。さらにPetyaへと姿を変えた。そしてIT業界では脆弱性のあるシステムにパッチをあてるよう、常に警告されるようになった。

WannaMineは 2017年10月にPanda Security社によって初めて発見された。

さらに2018年1月、Sophos 社がWannaMineが依然活動中で、パッチをあてていないシステムを食い荒らしているとユーザに警告した。

ジョージア州オーガスタに拠点を置くRendition Infosec社の創立者およびCEOであるJake Williams氏によると、数多くの手口の脅威は攻撃にEternalBlueを利用している可能性があるようだ。

「インターネット上に晒しているなんのパッチも当てていないSMBのあるシステムは、これまでに何度も侵入を許し、間違いなく1種類以上のマルウェアに感染しているといっても過言ではない。クリプトジャック犯達は間違いなくそのリスクのうちの一つでしょう。そういったシステムはクリプトマイニングに使えるほどのパワーがない（大半は専用のGPUがない）。それでもひとまとめにして乗っ取られると、犯人たちにそれなりのメリットを産み出せるようになります。それよりも心配になるケースでは、侵入を受けたシステムをマルウェアの指示に使ってサーバを乗っ取り、別の攻撃の足掛かりにされることです」と、同氏はツイッターのDMを通して語った。

searchsecurity.techtarget.com