PR

WoL を悪用するマルウェアの仕組みと対策

本記事は学習用です。作成には ChatGPT と GitHub Copilot を使用しています。

1. 導入:なぜ WoL がマルウェアに悪用されるのか

Wake-on-LAN(以下、 WoL)は、ネットワーク経由でスリープ中や電源オフ状態の PC を起動するための機能・プロトコルで、企業ネットワークやリモート管理で広く利用されている。(ウィキペディア)

一方で、ランサムウェアなどのマルウェアが WoL を悪用し、すでに侵害されたネットワーク内の「電源が落ちている端末」まで起動させて暗号化対象・攻撃対象を広げた事例が複数報告されている。代表例としては以下がある。

  • ランサムウェア Ryuk による WoL 悪用
    • ARP テーブルから同一ネットワーク上の端末を列挙し、WoL マジックパケットを送信してシャットダウン/スリープ状態の端末を起動し、リモートドライブを暗号化する機能が確認されている。(三井物産セキュアディレクション株式会社)
  • ランサムウェア LockBit 2.0 による WoL 機能
    • Ryuk を参考にしたと見られる WoL 機能を備え、マジックパケット(先頭に 0xFF が連続する典型的なフォーマット)を送信して、同一ネットワーク上にあるオフライン PC を起動させる実装が報告されている。(www.trendmicro.com)

これらの事例から、WoL は単なる省電力・運用性のための機能にとどまらず、 攻撃者視点では「停止している資産を無理やりオンラインに引きずり出すためのリモコン」 として利用され得ることがわかる。

  • WoL の技術的な仕組みと前提条件
  • マルウェアが WoL を悪用する具体的パターン
  • Ryuk / LockBit 2.0 など既知事例に基づく攻撃フロー
  • 検知・フォレンジックの観点
  • 実務的な防御・設定ベストプラクティス

2. WoL の技術的仕組みと前提条件

2.1 WoL の基本概念

WoL は、ネットワークインタフェースカード(NIC)が マジックパケット と呼ばれる特定のパターンのフレームを受信すると、PC の電源を投入する、という仕組みを持つ。(ウィキペディア)

  • WoL(Wake-on-LAN)
    • LAN 内からの特別なフレーム(マジックパケット)をトリガとして、低電力状態の端末を起動する技術・標準。
  • マジックパケット
    • 通常は以下のようなフォーマットを持つ L2 フレームのペイロード:
      • 0xFF を 6 バイト連続
      • 続いて対象 MAC アドレスを 16 回連続したもの

例(概念図):

FF FF FF FF FF FF 
AA BB CC DD EE FF (×16回繰り返し)

※実際にはこのペイロードを含む UDP ブロードキャストフレーム(例: ポート 7/9)などとして送信されることが多いが、仕様上は L2 ブロードキャストであればよい。

2.2 WoL が動作するための前提条件

WoL を悪用するマルウェアを考えるうえでは、「WoL がそもそも有効になっているマシン」しか起動できない点が重要になる。典型的な前提条件は次の通り。(wiki.debian.org)

  • マザーボードと NIC が WoL をサポートしている
  • BIOS/UEFI の電源管理設定で WoL が有効
  • OS ドライバ設定で「Magic Packet でのウェイク」「パターンマッチでのウェイク」等が有効
  • 対象 PC が「完全な電源断」ではなく、スタンバイ電力が供給されている
  • ネットワーク機器が WoL フレーム(ブロードキャスト)を正しく転送する構成になっている

逆に言えば、これらの条件を満たさない端末は WoL では起動できないため、攻撃者にとっての「悪用可能な対象」は WoL が有効な端末に限定される。

2.3 セキュリティ上の注意点(WoL 単体のリスク)

WoL 自体は認証機構が乏しく、基本的には「LAN 内の誰でもマジックパケットを投げられる」仕様です。(ウィキペディア)

  • ユーザー認証・アクセス制御がプロトコルレベルに存在しない
  • MAC アドレスさえ知っていれば、同一セグメント上の誰でも対象 PC を起動し得る
  • VLAN やファイアウォールでの制御を行わないと、想定外の端末からも WoL が打ち込まれる可能性がある

ただし、多くのベンダや解説記事は「WoL 自体のリスクは相対的に低く、ネットワーク全体のセキュリティ設計の一部として適切に制御すれば問題を抑えられる」としている。(Linux Security)

問題は、 一度ネットワークが侵害されると、この「認証のない起動機構」が攻撃側の武器として使われる という点です。

3. マルウェアによる WoL 悪用パターン

3.1 代表例:Ryuk ランサムウェア

日本語・英語双方の解析レポートで、ランサムウェア Ryuk が WoL を悪用していることが詳細に報告されている。(三井物産セキュアディレクション株式会社)

MBSD の詳細解析によれば、Ryuk は特定の実行引数(例: 8 LAN)で起動された場合、次のような処理を行う。

  1. 感染端末の ARP テーブルを取得
  2. 同一ネットワーク上の IP/MAC の一覧を作成
  3. 各 MAC アドレスに対して WoL マジックパケットを生成
  4. ブロードキャスト送信により、シャットダウン/スリープ中の端末を次々と起動
  5. 起動に成功した端末の C$ 共有などに対して暗号化処理を行う

この挙動により、攻撃者は「業務時間外に電源が落ちている PC」も含めて暗号化対象を最大化し、身代金要求のインパクトを高めることができる。

3.2 代表例:LockBit 2.0 の WoL 機能

Trend Micro および国内解説サイトの分析では、ランサムウェア LockBit 2.0 も、Ryuk の手法を参考にしたと見られる WoL 機能を備えている。(www.trendmicro.com)

  • ネットワーク上の端末を探索
  • マジックパケット(先頭に 0xFF が複数回続き、その後ターゲット MAC を繰り返す)を生成
  • オフラインの PC を起動
  • 暗号化対象を拡大

Ryuk・LockBit 2.0 の共通点は、「WoL を利用して暗号化可能な資産の母数を増やす」という明確な目的を持っていることです。

3.3 ボットネットや RAT による WoL 悪用の可能性

公表レポートとしてはランサムウェア事例が目立つが、概念的には以下のマルウェアでも WoL 悪用は十分想定できる。

  • ボットネット型マルウェア
    • 感染端末を DDoS 攻撃・スパム送信などに利用する場合、スリープ中の端末を WoL で起動し、ボットとして利用可能な時間を増やすことが理にかなう。
    • 実際に「スリープ解除してボット活動を行う」マルウェアの存在はセキュリティコミュニティでも指摘されている。(Super User)
  • RAT(Remote Access Trojan)
    • 攻撃者が C2(Command & Control)側から、必要に応じて内部端末を WoL で起動し、リモート操作・データ窃取・横展開を行うシナリオが考えられる。

現時点で、Ryuk・LockBit 2.0 ほど明確に WoL 機能が解析されたボットネット/RAT は多くないが、 「WoL を実装するコード自体が極めて簡単です」 ことを考えると、今後も増える可能性が高いと推測されます。

3.4 WoL 悪用の共通特徴

マルウェアが WoL を悪用する際の共通パターンはおおむね次の通りです。

  1. すでにネットワーク内部の 1 台以上が侵害されている
  2. 侵害端末、あるいは侵害されたルーター・ゲートウェイなどが LAN 内で WoL パケットを送信可能な位置にある(Information Security Stack Exchange)
  3. 攻撃者は LAN 内の ARP テーブル/スキャン結果から IP/MAC を把握
  4. WoL 対応かつ有効化済みの端末に対してマジックパケットを送信
  5. 起動後、SMB/RPC/SSH などを利用して暗号化・マルウェア展開・データ窃取を実行

ここで重要なのは、 WoL は「初期侵入の手段」ではなく、内部侵害後の横展開・影響拡大フェーズで使われることが多い という点となる。

4. 攻撃シナリオの具体例とフロー

4.1 典型的なランサムウェア+WoL 攻撃フロー

Ryuk / LockBit 系の挙動をベースに、典型的な攻撃の流れを整理する。

[インターネット]
      |
      v
(1) フィッシング / VPN脆弱性などから侵入
      |
      v
[侵害された踏み台サーバ or PC]
      |
      | (2) ドメイン情報・共有フォルダ・ARPテーブルを列挙
      |
      | (3) 横展開しつつ、ランサムウェア展開
      |
      | (4) WoLマジックパケットを LAN ブロードキャスト
      v
[スリープ/シャットダウン中の端末(WoL有効)]
      |
      | (5) 起動・ネットワーク接続
      v
[暗号化対象端末の増加]
      |
      v
(6) ファイル暗号化 → 身代金要求

ポイント:

  • WoL はステップ (4) の「起動トリガー」として利用される
  • 攻撃者は「夜間・休日」に攻撃を実行し、できるだけ多くの端末がオフライン状況を逆手に取る
  • 組織は、バックアップや DR(Disaster Recovery)が不十分な場合、広範囲な暗号化被害から復旧が困難になる(www.trendmicro.com)

4.2 侵害から WoL 悪用までの技術ステップ(疑似コード例)

以下は、マルウェアが WoL を悪用する際のロジックを単純化した疑似コードのイメージです(挙動理解のための例)。

function spread_with_wol():
    # 1. ARPテーブルから近隣ホストを収集
    targets = get_arp_table_entries()

    for t in targets:
        mac = t.mac_address
        ip  = t.ip_address

        # 2. マジックパケットを生成
        magic_payload = build_magic_packet(mac)

        # 3. LANブロードキャストで送信
        send_udp_broadcast(port=9, payload=magic_payload)

        # 4. 一定時間待ってから、C$ 共有への接続を試行
        if wait_for_host_online(ip, timeout=120):
            deploy_ransomware(ip)
            start_encryption(ip)

※実際のマルウェアはより複雑なエラー処理・例外ケースを持つが、概念的な流れはこのようになる。

4.3 ルーター・ゲートウェイが侵害された場合のシナリオ

WoL は同一 L2 セグメント内で完結することが多いが、家庭・小規模オフィスではルーターが WoL 機能を持ち、インターネット越しのリモート WoL を提供しているケースもある。(Information Security Stack Exchange)

  • ルーターの管理画面にデフォルトパスワードで侵入
  • あるいはルーター自体がマルウェアに感染
  • ルーターが内部 LAN に対して WoL パケットを送信

この場合、 PC 側はマルウェアに感染していなくても、ルータに侵害されているだけで「勝手に起動させられる」 という構図になる。

5. 検知・ログ・フォレンジックの観点

5.1 WoL を用いたマルウェア活動の検知ポイント

Ryuk の WoL コマンド利用を検知するための相関ルールが SIEM ベンダから公開されているように、WoL 悪用は監視の観点からも明確な特徴を持つ。(ManageEngine)

主な検知ポイント:

  1. 短時間に大量の WoL マジックパケットがブロードキャストされている
    • FF:FF:FF:FF:FF:FF に続く同一 MAC の連続パターンをシグネチャにできる
  2. 特定の Windows プロセス/スクリプトが ARP テーブルを列挙し、その直後に怪しい UDP トラフィックを発生させている
  3. 夜間・休日など業務時間外に、複数端末の同時起動・ログオンが記録されている
  4. 起動直後に SMB 経由で不審な実行ファイルがコピー・実行されている

これらのイベントを SIEM 上で 時系列相関 させることで、WoL 悪用を伴うランサムウェア攻撃を早期検知できる可能性が高まる。

5.2 ネットワークログでの WoL 痕跡

WoL のマジックパケット自体は L2 ブロードキャストであり、L3 ファイアウォールのログには残らないことも多い。ただし、次のような観測が可能な場合がある。

  • L2 スイッチでのポートミラーリング+ IDS によるペイロード解析
  • 一部のネットワーク監視ツールが WoL イベントとして解釈してログ化
  • 仮想環境(ハイパーバイザ)上の vSwitch がパケットをキャプチャ

WoL ペイロードのシグネチャは単純なので、 NIDS(Network IDS)で「FF×6 + MAC×16」を検知するルール を作ることは容易です。

5.3 エンドポイント側の痕跡

エンドポイント側では、以下のようなログ・痕跡が WoL 悪用の調査に有用です。

  • Windows の電源管理イベントログ(例: イベントビューアでの「スリープからの復帰」「Wake Source: Network Adapter」など)
  • 起動直後のセキュリティログ(ログオンイベント、C$ 共有アクセス履歴)
  • 起動とほぼ同時に実行されたプロセス(EDR 製品のタイムライン)

専門的なフォレンジックでは、NIC ドライバ・ACPI 関連のログや、ハードウェアイベントなども参照されることがある。

6. 防御・設定のベストプラクティス

6.1 ポリシーレベルの基本方針

WoL を悪用するマルウェアへの対策は、基本的に 「WoL を安易に広範囲で有効化しない」「WoL を打てる位置を限定する」 の 2 点に集約される。

  • 業務上 WoL が本当に必要な端末・セグメントを明確化
  • 不要な端末では BIOS/UEFI・OS で WoL を無効化
  • WoL を利用する場合も、 特定の管理サーバ/管理ネットワークからのみ送信できるようにする

Splashtop や国内ベンダの解説でも、「必要な範囲に限定して WoL を有効化し、VPN やファイアウォールでアクセス元を制御すること」がベストプラクティスとして紹介されている。(splashtop.com)

6.2 BIOS/UEFI・OS レベルでの設定

代表的な対策・確認項目:

  • BIOS/UEFI
    • 「Wake on LAN」「Wake from PCI-E」「Power On by PCI Device」などの項目を必要な端末以外は無効化
  • OS(Windows など)の NIC プロパティ
    • 「このデバイスで、コンピュータのスタンバイ状態を解除できるようにする」のチェック
    • 「Magic Packet のみでスタンバイ状態を解除できるようにする」の有効/無効
  • Linux サーバ
    • ethtool -s eth0 wol g などでの WoL 設定を、必要な場合のみ恒久化
    • 起動スクリプトや NetworkManager 設定を見直し、不要な WoL 有効化を避ける(Ask Ubuntu)

6.3 ネットワークレベルでの制御

WoL の悪用はネットワーク設計で大きく抑制できる。

  • VLAN 分割と ACL
    • 管理ネットワーク(運用セグメント)からのみ WoL ブロードキャストを許可
    • ユーザー端末セグメント同士では WoL ブロードキャストを通さない
  • ルーター/ファイアウォール
    • インターネット側からの WoL パケットを基本的に遮断
    • インターネット経由での WoL が必要な場合は VPN 内に限定し、UDP ブロードキャストの転送も最小限に
  • ログ・監視
    • IDS/IPS で WoL シグネチャを検知し、想定外の送信元からの WoL をアラート

Cisco 等のネットワーク機器コミュニティでも、WoL を許可することのセキュリティ懸念が議論されており、原則として「必要最小限の範囲に限定すべき」とされる。(Cisco Community)

6.4 リモート WoL サービス利用時の注意

リモートデスクトップ製品やテレワーク向けサービスには、Web UI から WoL を実行する機能を持つものもある。(社内SE相談所)

これらを利用する際は以下を徹底する。

  • 管理画面へのアクセスを VPN・IP 制限・多要素認証で保護
  • サービス側アカウントの ID/パスワード管理を厳格化
  • 管理者権限の付与を最小限にする
  • ログから「いつ」「誰が」「どの端末に」 WoL を発行したか追跡可能にする

管理画面が乗っ取られると、「正規機能を利用して社内端末を片っ端から起動→暗号化」という最悪のシナリオにつながり得る。

7. よくある誤解・アンチパターン

7.1 「WoL は安全だから気にしなくてよい」

WoL 自体は実装がシンプルで、攻撃対象領域も限定的であるため、多くの解説は「単体ではリスクは比較的低い」と評しています。(Linux Security)

しかし、Ryuk・LockBit 2.0 の事例が示す通り、 ネットワークが一度侵害された後は WoL が攻撃のレバレッジとして使われる

「WoL を使っている=即危険」ではないが、
侵害後の被害拡大を助長し得る」ことは明確なため、設計・運用でコントロールすべき対象です。

7.2 「PC の電源を切っていればランサムウェアは安全」

電源断・シャットダウンが重要な防御になる場面はあるが、 WoL が有効な端末は「電源を切っていても安全とは限らない」

  • WoL が有効
  • LAN 内に侵害済み端末 or 侵害されたルータが存在
  • 攻撃者が MAC アドレスを把握

という条件が揃うと、シャットダウンしている端末も起動させられ、暗号化対象となりうる。(三井物産セキュアディレクション株式会社)

※もちろん、電源ケーブルが物理的に抜かれている/ WoL 非対応ハードウェアであれば WoL では起動できない。

7.3 「家庭用途だから WoL のセキュリティは気にしなくてよい」

家庭でも、リモートアクセス用にルーターのポート開放やリモート管理機能を有効にして WoL を使っているケースがある。Q&A サイトなどでは、「他のポート開放と同様にリスクがある」「設定を誤るとインターネットから攻撃を受ける可能性がある」といった指摘がなされている。(Yahoo!知恵袋)

特に、ルーターの管理パスワードが初期値のまま、かつルーターが WoL 機能を提供している場合、

  • ルーター=攻撃者の管理コンソール
  • WoL 機能=内部 PC の起動スイッチ

になり得るため、少なくとも 管理画面へのアクセス制御・パスワード変更 は必須である。

8. まとめ

WoL を悪用するマルウェアは、現時点では主にランサムウェア(Ryuk、LockBit 2.0 など)の文脈で顕在化しているが、技術的にはボットネット・RAT など他のマルウェアファミリでも容易に実装可能であり、今後増加する可能性が考えられる。

  • WoL は「マジックパケット」によって PC を起動する機能であり、認証機構が乏しい
  • Ryuk や LockBit 2.0 は、ARP テーブルから端末を列挙し WoL マジックパケットを送信することで、シャットダウン中の端末まで暗号化対象を広げる機能を持つ(三井物産セキュアディレクション株式会社)
  • WoL は初期侵入手段ではなく、侵害後の横展開・影響拡大フェーズで利用されることが多い
  • 検知の観点では、WoL パケットの異常な送信、夜間の一斉起動、起動直後の不審な SMB アクセスなどを SIEM/EDR で相関させるのが有効
  • 防御の観点では、
    • WoL を有効にする端末・セグメントを最小限に制限
    • BIOS/UEFI・OS・ネットワーク機器で WoL の範囲と送信元を制御
    • リモート WoL サービスのアカウント・アクセス制御・ログ管理を徹底することが重要

WoL は運用上便利な機能であり、安易に全廃すべきとは言いにくい。重要なのは、 「侵害後に攻撃者の武器になる」という前提で設計・運用する こと。

網羅的なランサムウェア対策やインシデントレスポンス手順とあわせて、WoL の扱いもセキュリティポリシーに明文化しておくとよい。詳細な設計・フォレンジック・マルウェア解析に踏み込む場合は、専門家に確認が必要となる場面が多い点にも留意してほしい。

A. 参考サイト

  • Wake-on-LAN の概要とセキュリティ考慮事項(英語)(ウィキペディア)
  • Debian Wiki: WakeOnLan(WoL の基本と設定方法)(wiki.debian.org)
  • Intercom: Wake on LAN(WoL)とは? 設定方法や利用時の注意点(日本語)(intercom.co.jp)
  • Splashtop: Wake-on-LAN (WOL) とは何ですか?リモートコンピューティングのための有効化方法(日本語)(splashtop.com)
  • MBSD: 標的型攻撃ランサムウェア「Ryuk」の内部構造を紐解く(日本語、WoL 悪用の詳細)(三井物産セキュアディレクション株式会社)
  • Trend Micro: 「LockBit 2.0」のランサムウェア攻撃が拡大中。日本にも被害を…(日本語、LockBit 2.0 の WoL 機能)(www.trendmicro.com)

B. 関連書籍

コメント