ランサムウェア

ランサムウェア「WannaCry」で疑われるNSA製バックドアとの関係

ZDNet Japan Staff 2017年05月16日 11時29分

  • このエントリーをはてなブックマークに追加

 警察庁は5月15日、Windowsの脆弱性「MS17-010」を狙う攻撃ツール「Eternalblue」もしくはバックドア「DOUBLEPULSAR」に感染したコンピュータの探索が目的とみられるアクセスを継続的に観測していると発表した。アクセスは4月19日以降から続いているという。

 EternalblueやDOUBLEPULSARは、「Shadow Brokers」を名乗るハッカー集団が米国時間4月14日に公開した米国家安全保障局(NSA)のハッキングツールや脆弱性情報に含まれていた。Eternalblueは、MS17-010でMicrosoftが対処したSMB v1の脆弱性を悪用し、コンピュータにDOUBLEPULSARを感染させる。MS17-010の脆弱性は、5月12日頃から15日にかけて世界的な被害が発生したランサムウェア「WannaCry」も感染拡大に使用する。

 警察庁では、ポート445/TCPをあて先とするアクセスを14日までに連日観測しており、5日には最多となる350件以上が確認された。ポート445/TCPは、SMBのファイル共有などに使われる。


「Eternalblue」を悪用した攻撃などと考えられるあて先ポート445/TCPに対するアクセス件数の推移(出典:警察庁)

 同庁は、DOUBLEPULSARやWannaCryなどが、Eternalblueとの組み合わせによってネットワーク経由で遠隔から感染させることができることを確認したといい、こうした手法による不正プログラムの感染攻撃が行われている可能性があると警鐘を鳴らしている。

 DOUBLEPULSARについては、米Below0DayやスイスのBinaryEdgeが4月中旬に、世界で数十万台規模の感染が発生していると指摘。日本国内では少なくとも1000台以上が感染していると報告していた。

 DOUBLEPULSARとWannaCryの関連性は、はっきりしていないが、ともにMS17-010の脆弱性を悪用して感染を広げる点が共通点として挙げられる。

分からないWannaCryの初期侵入の経路

 JPCERT コーディネーションセンター(JPCERT/CC)やトレンドマイクロによると、WannaCryについては感染拡大の手口こそ明らかになったものの、初期の侵入手口については今なお判明しておらず、引き続き解析を進めているという。

 情報処理推進機構(IPA)などが、不審なメールや添付ファイルに警戒するよう呼び掛けている。これらはマルウェア感染を狙ったサイバー攻撃の一般的な手口であり、基本的な対策として心掛けるべき点となるが、攻撃メールによってWannaCryに感染したという報告は少ないようだ。

 トレンドマイクロは15日に開催した説明会で、WannaCryの最初のサンプルを2月に入手していたことを明らかにした。一方、Kasperskyは15日に公開したブログで、2月時点におけるWannaCryには、北朝鮮との関係が疑われる攻撃組織「Lazarus」が過去のサイバー攻撃で用いたマルウェアと類似性がみられると指摘。

 Lazarusは、2014年のソニー・ピクチャーズに対する標的型攻撃や2016年のバングラデシュ中央銀行に対する標的型攻撃などに関与したとみられている。

 トレンドマイクロの分析では、WannaCryが段階的に機能を強化していることが判明している。各社の情報からは、初期のWannaCryでは身代金を要求するランサムウェアとしての機能がメインだったものの、途中でWannaCryの開発者がShadow Brokersの公開情報をもとに感染を拡大させるためのワーム機能などを追加し、これが世界的な被害につながった可能性もある。

 国内では企業や組織などにWannaCryの感染被害が出ている模様だが、トレンドマイクロは15日午後4時点で感染が9件、JPCERT/CCでは15日までに約600のIPアドレスと約2000台の感染報告があったことを明らかにしている。

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化