編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

WannaCry拡散に利用された「EternalBlue」、別のマルウェア拡散に悪用される--FireEye

Danny Palmer (ZDNet.com) 翻訳校正: 編集部

2017-06-06 10:53

 米国家安全保障局(NSA)から流出し、「WannaCry」ランサムウェア攻撃の拡大の一因となったエクスプロイトが現在、トロイの木馬型マルウェアの拡散に利用されている。

 「Windows」のセキュリティ脆弱性を狙う「EternalBlue」は、米国の諜報機関が既に把握していたとされる多くのものの1つで、ハッカー集団のShadow Brokersによってリークされるまで、監視活動などに利用されていたとされる。

 このエクスプロイトは、Windowsの「Server Message Block」(SMB)ネットワーキングプロトコルの特定のバージョンを悪用して、Wannacryの感染拡散に利用された。

 WannaCryの拡散は既にほぼ阻止されているとされるが、サイバー犯罪者やハッカーは今もEternalBlueエクスプロイトを使って、WannaCryよりはるかに控えめなサイバー攻撃を実行しているとFireEyeの研究者は話す。

 今回は、「Backdoor.Nitol」と「Gh0st RAT」を拡散させるのにSMBの脆弱性が利用されている。Backdoor.Nitolは、感染したコンピュータ上にバックドアを作成するトロイの木馬だ。Gh0st RATはスパイ活動を実行してデータを盗むほか、マシンを完全に乗っ取ることもできるマルウェアである。

 Gh0st RATは特に危険であり、航空産業や防衛産業、政府機関、活動家を何度も困難に陥れている。今回のGh0st RATキャンペーンの実行者たちは、シンガポールを攻撃するために、EternalBlueエクスプロイトを利用している。一方、Nitolはより広範な東南アジア地域を標的にしている。

 研究者たちによると、SMBエクスプロイトに対して無防備なマシンが、EternalBlueエクスプロイトを利用してマシンへのシェルアクセス取得を試みるハッカーたちの標的になっているという。

 SMBレベルで使用される最初のエクスプロイトは、WannaCry攻撃で確認されたものに似ているが、今回の攻撃は、そのエクスプロイトを利用してランサムウェアをデプロイするのではなく、シェルを開いて、VBScriptファイルに指示を書き込む。この指示が実行されると、別のサーバからペイロードを取得する。NitolやGh0st RATを使って、マシンへのバックドアを作成することが狙いだ。


提供:iStock

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]