ランサムウェア

「Wannacry」の初期侵入はバックドア経由--Malwarebytesが指摘

ZDNet Japan Staff 2017年05月22日 13時01分

  • このエントリーをはてなブックマークに追加

 ランサムウェアやワームなどの機能を備えるマルウェア「Wannacry」の感染拡大を狙う攻撃の勢いに、衰えが見られないようだ。また、不明とされてきた初期侵入の手口も明らかになってきた。

 警察庁は5月19日、Wannacryに感染したPCが発信元とみられるポート445/TCPへのアクセスを試みるアクセスが12日以降、断続的に観測されているとして注意を呼び掛けた。主な発信元はロシアや米国、台湾、中国などとなっている。


「WannaCry」に感染した PC からの感染活動とみられる不審な通信パケット(出典:警察庁)

 Wannacryは、感染先の端末のファイルを暗号化して身代金を要求するランサムウェアとしての特徴と、感染端末を起点にして感染先を広げるワームとしての特徴を持つことが知られている。

 感染先を広げる際は、まずインターネットやローカルネットワーク上でポート445/TCPが開かれた端末へのアクセスを試行する。これに成功すると、接続先の端末にMicrosoftが公開した「MS17-010」などで修正されるServer Message Block(SMB)の脆弱性や、バックドア「DOUBLEPULSAR」の有無を確認する。

 脆弱性やDOUBLEPULSARが既に存在する場合は、DOUBLEPULSARを経由してWannacryを感染させる。脆弱性が存在してもDOUBLEPULSARが無い場合は、「EternalBlue」と呼ばれる攻撃ツールの機能を使ってDOUBLEPULSARを仕掛け、Wannacryを送り込む。

 警察庁の観測では、Wannacryに関連するとみられるアクセスは12~13日に発生し、14~15日にかけていったん小康状態となったものの、16日から再び急増した。同庁は15日にも、EternalBlueやDOUBLEPULSARに関連するとみられるアクセスを4月19日から断続的に観測していると、注意喚起した。

メールによる初期侵入説を否定

 EternalBlueやDOUBLEPULSARは、「Shadow Brockers」を名乗る集団が4月14日に公開したハッキングツールや脆弱性情報に含まれて、これらが米国家安全保障局(NSA)によって開発されたと主張。Microsoftは、悪用される恐れのあった脆弱性を3月のセキュリティ更新プログラムで修正している。

 米Malwarebytesは5月19日のブログで、上述したWannacryのワームとしての特徴やShadow Brockersが公開した情報を踏まえて、Wannacryの感染攻撃にEternalBlueやDOUBLEPULSARが使用されたとの見解を表明した。

 Wannacryの大規模感染が発覚した当初、欧米のメディアなどは感染攻撃にスパムメールが使われた可能性があると報じ、セキュリティ機関などが「不審なメールを開かないように」といった対策を呼び掛けた。Malwarebytesは、同時期にランサムウェア「Jaff」の感染を狙うスパム攻撃が発生したため、Wannacryがこれと混同され、誤った情報が広まったと指摘する。

 Malwarebytesによれば、攻撃者はまずインターネット側にポート445/TCPを開いている端末を探索する。見つかった端末にリモートから接続し、EternalBlueを使ってSMBの脆弱性を突き、端末にDOUBLEPULSARを仕掛ける。さらに、DOUBLEPULSARを通じてWannacryに感染させる。こうしてWannacryに初期感染した端末が起点になり、ローカルネットワークに接続された端末などへの大規模感染につながったという。

 同社の解析からDOUBLEPULSARは、Asynchronous Procedure Call(APC)を使って、「lsass.exe」のユーザーモードのプロセスにDLLを注入し、端末への永続的なアクセスを可能にする。これによってWannacry以外の不正プログラムを感染させたり、攻撃者が端末の情報を窃取したりすることが可能になる。

 さらにDOUBLEPULSARは、自身の存在を端末から消去する機能を持つほか、メモリ上で活動するため、端末が再起動すると消滅するという。このためユーザーが後からDOUBLEPULSARの検出を試みても発見されない場合があり、DOUBLEPULSARによって埋め込まれた他の不正プログラムに感染している可能性も考えられるという。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]