7.無差別攻撃ではない可能性がある
WannaCryの爆発的感染が発生した際には、世界中で何十万台ものシステムが被害に遭った。しかし、Bad Rabbitは無差別にターゲットを感染させているようには見えず、研究者らは選ばれた標的だけを感染させている可能性があると指摘している。
Kaspersky Labの研究者は「当社の所見では、これは企業ネットワークに対する標的型攻撃だ」と述べている。
またESETの研究者は、感染したウェブサイトに組み込まれたスクリプトの命令は、閲覧者が関心の対象であるかどうかを判断し、(感染させるのに適していれば)コンテンツをページに追加できるようになっていると述べている。
ただし現時点では、この攻撃で特にロシアやウクライナのメディア組織やインフラが狙われた明確な理由は分かっていない。
8.誰が犯人かは明らかではない
現時点では、誰が、どんな理由でBad Rabbitを広げているかは明らかになっていないが、Petyaとの類似性があることから、一部の研究者は同じ攻撃グループによる攻撃だと考えている。ただし、6月のPetyaの大流行を引き起こした犯人は特定されていないため、この情報は攻撃者や動機の特定には役に立たない。
この攻撃の特徴は、主にロシアで感染が広がったことだ。東欧のサイバー犯罪組織は、「ルーツ」であるロシアへの攻撃を避ける傾向があるため、犯行グループがロシアのグループである可能性は低いとみられる。
9.「ゲーム・オブ・スローンズ」のキーワードが含まれている
Bad Rabbitを広げたのが誰であれ、犯人は「ゲーム・オブ・スローンズ」のファンのようだ。コードには、Viserion、Drogon、Rhaegalというキーワードが出てくるが、これは同テレビドラマシリーズと、その原作小説に登場するドラゴンの名前だ。コードを書いた人物は、ハッカーはオタクやマニアであるという偏見を変えようという努力はしなかったらしい。
コード中の「ゲーム・オブ・スローンズ」のドラゴンへの言及
提供:Kaspersky Lab
10.感染を防ぐための手段がある
研究者らは、ランサムウェアの広がりを助長するだけだとして、身代金を支払うべきではないと述べているが、現時点では、身代金を払わずに暗号化されたファイルを取り戻すことが可能かどうかはわからない。
多くのセキュリティ企業は、自社の製品はBad Rabbitに対する保護に対応していると述べている。またKaspersky Labは、「c:\windows\infpub.dat」および「C:\Windows\cscc.dat」のパスを持つファイルの実行をブロックすることで、このマルウェアへの感染を避けることができると述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。