ランサムウェア

「WannaCry」騒動から1カ月、今も大量に残る脆弱なSMBサービスの危険性

ZDNET Japan Staff

2017-06-16 13:20

 マルウェア「WannaCry」の騒ぎから1カ月あまりが経過した6月15日、インターネット接続機器検索サービス「Shodan」の研究者が、この攻撃に関係したバックドア「DoublePulsar」や脆弱性の対策状況などについて報告した

 WannaCryは、自動的に感染先を広げながら、感染端末のデータを暗号化して身代金を要求する。感染攻撃では、WindowsのSMBサービスの脆弱性を突く「EnternalBlue」エクスプロイトを通じて端末にDoublePulsarが仕掛けられ、DoublePulsar経由でWannaCryの本体が送り込まれる

 EnternalBlueやDoublePulsarは、4月中旬にハッカー集団のShadow Brokersが公表した。EnternalBlueで突かれる脆弱性は、Microsoftが3月に公開したセキュリティ更新プログラム「MS17-010」で修正されていた。Shodanの観測によれば、4月20日時点のDoublePulsar感染端末は約10万台だったが、WannaCry騒動の起きた5月12日頃から大きく減少し、6月5日時点では約2万台だった。

DoublePulsar感染端末台数の推移(出典:Shodan)''
DoublePulsar感染端末台数の推移(出典:Shodan)

 報告者のJohn Matherly氏によると、DoublePulsar感染端末の減少は、WannaCryの出現によってMS17-010を適用する対策が進んだ効果とみられる。しかし、現時点でMS17-010を適用していない端末が9万1081台あり、今も脆弱なSMBサービスをインターネット上に晒し続けていると指摘する。

 Shodanの観測では、インターネットに公開されたSMBサービスが230万6820件あり、このうち96%が古く脆弱性なSMBのバージョン1をサポートしている。また、42%は匿名のゲストアクセスを許可していた。

 Matherly氏によれば、匿名のゲストアクセスを許可していたサービスの90%以上がWindowsではなくSambaで実行されていた。その大半はアラブ首長国連邦にホストされ、Samba 3.2.15など古いバージョンが実行されているという。

Shodanで確認されたSMBサービスで使われているSambaのバージョン(出典:Shodan)''
Shodanで確認されたSMBサービスで使われているSambaのバージョン(出典:Shodan)

 こうしたことからMatherly氏は、インターネットに公開されたSMBサービスの危険性がWannaCryやDoublePulsarの騒動によって一時的に低下したものの、再び高まる恐れがあると警鐘を鳴らす。

 Sambaでは5月下旬に、リモートから任意のコードを実行される深刻な脆弱性が報告されている

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]