ランサムウェア

ランサムウェア「Bad Rabbit」は企業を脅すサイバー攻撃の可能性

ZDNet Japan Staff 2017年10月27日 14時48分

  • このエントリーをはてなブックマークに追加

 ロシアやウクライナを中心に被害が発生したランサムウェア「Bad Rabbit」の攻撃について、その拡散手法などの状況が徐々に明らかになってきた。国内では、アイカ工業のウェブサイトがマルウェア拡散の“踏み台”にされたとみられ、同社が調査対応を進めている。

 Bad Rabbitは、感染端末内のデータを暗号化して身代金を要求する。感染を狙う初期段階の攻撃では、複数のウェブサイトに閲覧者を攻撃サイトへ誘導する不正なスクリプトが埋め込まれた。閲覧者の端末には、攻撃サイトから偽のFlash Playerのインストーラが送り込まれる「ドライブバイダウンロード攻撃」が行われる。閲覧者がこのファイルを開くと、Bad Rabbitに感染する。さらに、感染端末を起点にしてネットワークに接続された別の端末に拡散する。

感染攻撃の“踏み台”被害は63サイト

 RiskIQの調査によれば、初期段階の攻撃では、4つのIPアドレスから63のウェブサイトに対して閲覧者を攻撃サイトへ誘導するための不正なスクリプトが挿入された(改ざん)。攻撃者によって改ざんされた63のウェブサイトは、閲覧者がマルウェア感染してしまう“踏み台”にされ、RiskIQのその1つにアイカ工業を挙げた。

 アイカ工業は10月25日に攻撃の情報を把握し、同日の12時17分にウェブサイトを閉鎖した。ウェブサイトのサーバ内にある1つのファイルが外部の何者かによって改ざんされ、その後修復された痕跡を発見したという。サーバへの侵入経路などは不明で、同社は27日現在もウェブサイトを閉鎖し、愛知県警に状況を報告しつつ、セキュリティ専門会社と調査を継続している。

 RiskIQの報告では、アイカ工業のウェブサイトに不正なスクリプトが埋め込まれた期間は、少なくとも10月12日から19日の間だという。

拡散にWindowsの脆弱性も使用か

 Cisco Systemsトレンドマイクロによると、Bad Rabbitが感染端末を起点にネットワーク経由で拡散する仕組みでは、当初に判明したWindowsの正規ツール「Windows Management Instrumentation (WMI)」やサイバー攻撃ツール「Mimikatz」などを利用する方法に加え、Microsoftが3月のセキュリティ更新プログラム「MS17-010」で修正したServer Message Block(SMB)の脆弱性を悪用することも分かった。

 脆弱性を悪用する手法では、「EternalRomance」と呼ばれるものが使われたとみられる。EternalRomanceは、5月に出現したランサムウェア「WannaCry」が用いた「EternalBlue」など、2017年春頃に発覚したさまざまな脆弱性悪用手法の1つ。6月にウクライナなどで深刻な被害をもたらしたランサムウェア「Nyetya」(「NotPetya」など複数の呼称がある)も使用していたとされる。

 ただしCiscoの解析では、Bad RabbitにおけるEternalRomanceの特徴は、Nyetyaとは部分的に異なるという。同社はBad Rabbitの攻撃者とNyetyaの攻撃者との間に、何らかの共通性があると推測している。

企業を狙う高度な攻撃か

 セキュリティベンダーらの解析が進んだことで、各社からはBad Rabbitが企業を標的にする高度なサイバー攻撃との見方が出始めている。その理由は、概ね下記の点だ。

  • 感染の踏み台にされたウェブサイトは企業関係者の閲覧が多く、「水飲み場」の方法が用いられた可能性があること
  • 拡散手法に、主に組織ネットワークで利用されることの多いツールや、ファイル共有などのためのSMBなどが悪用されていたこと
  • WannaCryやNyetyaなど、直近で企業や組織に被害をもたらしたランサムウェア攻撃の方法を参考に、金銭を得る攻撃手法としての“完成度”が高まっていること
  • 攻撃者が被害者から身代金を獲得するための方法に“落ち度”が見られないこと(WannaCryでは身代金を支払った被害者を攻撃者が把握して回復方法を提供する点に落ち度が見られるなど、手口がずさんだったとの指摘がある)

 近年は、ランサムウェアによる身代金要求型のサイバー攻撃が世界的に多発するようになり、WannaCryなどのケースから攻撃者は、標的を無差別ではなく、企業や組織に絞りつつあるとの指摘もなされている。現状の対策としては、JPCERT コーディネーションセンターが挙げているような下記の基本的な取り組み(ランサムウェア対策に限定されない)を徹底し、被害に遭う可能性をできる限り低減することが求められそうだ。

  • 不審なインストーラなどのプログラムを実行しない
  • 不審なメールのリンク先にアクセスしたり、添付ファイルなどを不用意に開封、実行したりしない
  • OSやアプリケーションなどを可能な限り最新の状態にして、脆弱性を解消する
  • セキュリティソフトウェアなどを可能な限り最新の状態に更新する
  • 重要なファイルなどのデータは必ずバックアップし、バックアップデータは別の複数の場所に保管する。その際には、コンピュータやネットワークから切り離した場所も含める
  • バックアップとリカバリによる復旧策などの手順を確認し、実際に可能かどうかを点検する
  • ファイアウォールやメールフィルタなどを適切に設定し、不審な通信をブロックする
  • 不要なサービスの無効化や使用中のサービスにおけるアクセス制限を実施する
  • ウェブサイトにおけるセキュリティ対策(侵入防御、攻撃や改ざんなどの検知、脆弱性の検査や発見された脆弱性の修正対応など)を可能な限り講じる
  • 可能であればネットワークやシステムなどにおける不審な通信などの兆候をできる限り監視し、マルウェア感染機器などを分離するといった対応が取れるように備える
  • 万一の被害(踏み台にされるケースなども含め)における対応方法や手順、体制を整備し、適宜見直しを図りつつ、有事に行動できるよう訓練や確認を行う

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]