ロシアやウクライナを中心に被害が発生したランサムウェア「Bad Rabbit」の攻撃について、その拡散手法などの状況が徐々に明らかになってきた。国内では、アイカ工業のウェブサイトがマルウェア拡散の“踏み台”にされたとみられ、同社が調査対応を進めている。
Bad Rabbitは、感染端末内のデータを暗号化して身代金を要求する。感染を狙う初期段階の攻撃では、複数のウェブサイトに閲覧者を攻撃サイトへ誘導する不正なスクリプトが埋め込まれた。閲覧者の端末には、攻撃サイトから偽のFlash Playerのインストーラが送り込まれる「ドライブバイダウンロード攻撃」が行われる。閲覧者がこのファイルを開くと、Bad Rabbitに感染する。さらに、感染端末を起点にしてネットワークに接続された別の端末に拡散する。
感染攻撃の“踏み台”被害は63サイト
RiskIQの調査によれば、初期段階の攻撃では、4つのIPアドレスから63のウェブサイトに対して閲覧者を攻撃サイトへ誘導するための不正なスクリプトが挿入された(改ざん)。攻撃者によって改ざんされた63のウェブサイトは、閲覧者がマルウェア感染してしまう“踏み台”にされ、RiskIQのその1つにアイカ工業を挙げた。
アイカ工業は10月25日に攻撃の情報を把握し、同日の12時17分にウェブサイトを閉鎖した。ウェブサイトのサーバ内にある1つのファイルが外部の何者かによって改ざんされ、その後修復された痕跡を発見したという。サーバへの侵入経路などは不明で、同社は27日現在もウェブサイトを閉鎖し、愛知県警に状況を報告しつつ、セキュリティ専門会社と調査を継続している。
RiskIQの報告では、アイカ工業のウェブサイトに不正なスクリプトが埋め込まれた期間は、少なくとも10月12日から19日の間だという。
拡散にWindowsの脆弱性も使用か
Cisco Systemsやトレンドマイクロによると、Bad Rabbitが感染端末を起点にネットワーク経由で拡散する仕組みでは、当初に判明したWindowsの正規ツール「Windows Management Instrumentation (WMI)」やサイバー攻撃ツール「Mimikatz」などを利用する方法に加え、Microsoftが3月のセキュリティ更新プログラム「MS17-010」で修正したServer Message Block(SMB)の脆弱性を悪用することも分かった。
脆弱性を悪用する手法では、「EternalRomance」と呼ばれるものが使われたとみられる。EternalRomanceは、5月に出現したランサムウェア「WannaCry」が用いた「EternalBlue」など、2017年春頃に発覚したさまざまな脆弱性悪用手法の1つ。6月にウクライナなどで深刻な被害をもたらしたランサムウェア「Nyetya」(「NotPetya」など複数の呼称がある)も使用していたとされる。
ただしCiscoの解析では、Bad RabbitにおけるEternalRomanceの特徴は、Nyetyaとは部分的に異なるという。同社はBad Rabbitの攻撃者とNyetyaの攻撃者との間に、何らかの共通性があると推測している。
企業を狙う高度な攻撃か
セキュリティベンダーらの解析が進んだことで、各社からはBad Rabbitが企業を標的にする高度なサイバー攻撃との見方が出始めている。その理由は、概ね下記の点だ。
- 感染の踏み台にされたウェブサイトは企業関係者の閲覧が多く、「水飲み場」の方法が用いられた可能性があること
- 拡散手法に、主に組織ネットワークで利用されることの多いツールや、ファイル共有などのためのSMBなどが悪用されていたこと
- WannaCryやNyetyaなど、直近で企業や組織に被害をもたらしたランサムウェア攻撃の方法を参考に、金銭を得る攻撃手法としての“完成度”が高まっていること
- 攻撃者が被害者から身代金を獲得するための方法に“落ち度”が見られないこと(WannaCryでは身代金を支払った被害者を攻撃者が把握して回復方法を提供する点に落ち度が見られるなど、手口がずさんだったとの指摘がある)
近年は、ランサムウェアによる身代金要求型のサイバー攻撃が世界的に多発するようになり、WannaCryなどのケースから攻撃者は、標的を無差別ではなく、企業や組織に絞りつつあるとの指摘もなされている。現状の対策としては、JPCERT コーディネーションセンターが挙げているような下記の基本的な取り組み(ランサムウェア対策に限定されない)を徹底し、被害に遭う可能性をできる限り低減することが求められそうだ。
- 不審なインストーラなどのプログラムを実行しない
- 不審なメールのリンク先にアクセスしたり、添付ファイルなどを不用意に開封、実行したりしない
- OSやアプリケーションなどを可能な限り最新の状態にして、脆弱性を解消する
- セキュリティソフトウェアなどを可能な限り最新の状態に更新する
- 重要なファイルなどのデータは必ずバックアップし、バックアップデータは別の複数の場所に保管する。その際には、コンピュータやネットワークから切り離した場所も含める
- バックアップとリカバリによる復旧策などの手順を確認し、実際に可能かどうかを点検する
- ファイアウォールやメールフィルタなどを適切に設定し、不審な通信をブロックする
- 不要なサービスの無効化や使用中のサービスにおけるアクセス制限を実施する
- ウェブサイトにおけるセキュリティ対策(侵入防御、攻撃や改ざんなどの検知、脆弱性の検査や発見された脆弱性の修正対応など)を可能な限り講じる
- 可能であればネットワークやシステムなどにおける不審な通信などの兆候をできる限り監視し、マルウェア感染機器などを分離するといった対応が取れるように備える
- 万一の被害(踏み台にされるケースなども含め)における対応方法や手順、体制を整備し、適宜見直しを図りつつ、有事に行動できるよう訓練や確認を行う