ランサムウェア「Sodin」が日独韓台に感染集中--カスペルスキー

ZDNet Japan Staff

2019-07-04 13:23

 Kasperskyは、Microsoftが2018年10月のセキュリティ更新プログラムで対処したWindowsの特権昇格の脆弱性(CVE-2018-8453)を突いて感染するランサムウェア「Sodin」が、日本やドイツ、韓国、台湾、香港で拡散していると伝えた。

 同社の研究者が7月3日に公開したブログによれば、Sodin(別名:Sodinokibi、REvil)は、win32k.sysの脆弱性を突くエクスプロイトの実行を通じて特権昇格を図るという。コンピューターに侵入すると、プロセッサーのアーキテクチャーに応じて2種類のシェルコードオプションの1つが実行されるなどして、権限を昇格させる。

 ユーザーのデータを“人質”にとる暗号化は、ファイルにSalsa20対象ストリームのアルゴリズム、その鍵では楕円曲線非対称アルゴリズムを用いるハイブリッド型になっているという。暗号化されたファイルには任意の拡張子が設定され、使用できなくなる。被害者マシンのデスクトップ画面には、攻撃者のメッセージを記載した壁紙が表示され、“身代金”の支払い方法などを記したテキストファイルを参照するように促される。

 この脆弱性はKasperskyが発見し、セキュリティ更新プログラムがリリースされた時点でMicrosoftがその悪用を警告していた。Kasperskyによれば、Sodinは2019年前半に出現し、Oracle Weblogicの脆弱性を突いてマネージドサービスプロバイダーを標的にした攻撃を展開していた。

 同社の観測によれば、7月4日時点のSodinの感染率は台湾が約17%で最も高く、日本とドイツ、韓国が8%程度となっている。

ランサムウェア「Sodin」の感染状況(出典:Kaspersky)
ランサムウェア「Sodin」の感染状況(出典:Kaspersky)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. セキュリティ

    企業のDX推進を支えるセキュリティ・ゼロトラスト移行への現実解「ゼロトラスト・エッジ」戦略とは

  3. 経営

    2023年データとテクノロジーはどう変わるか 分析プラットフォームベンダーが明かす予測と企業戦略

  4. セキュリティ

    リモートワークで浮き彫りとなった「従来型VPN」、課題解決とゼロトラスト移行を実現する最適解

  5. セキュリティ

    第2世代EDRはココが違う 「自動化」でエンドポイントセキュリティの運用負荷・コストを削減

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]