連載
» 2017年11月13日 05時00分 公開

セキュリティクラスタ まとめのまとめ 2017年10月版:他人のCPUを使ってビットコインを採掘、マルウェアなのか (2/3)

[山本洋介山(エヌ・ティ・ティ・コミュニケーションズ),@IT]

新しいランサムウェア「Bad Rabbit」が東欧などで大流行、日本のサイトも関係?

 10月24日ごろから新しいランサムウェア「Bad Rabbit」が東欧を中心に拡散しているとの報道がありました。Bad Rabbitは感染した端末内のデータを暗号化後、P2P技術を用いたTorネットワーク経由で、仮想通貨による身代金の支払いを要求するそうです。ロシアやウクライナの空港などが被害に遭ったとのこと。実際に被害に遭った画面がツイートされていました。

 Bad Rabbitの拡散では、改ざんされたWebサイトが踏み台として使われていました。ユーザーがアクセスすると別の攻撃サイトに誘導され、Adobe Flash Playerのインストーラーに偽装したファイルがダウンロードされます。ユーザーがこのファイルを実行するとBad Rabbitに感染してしまう仕組みだとあります。

 JPCERT/CCが注意喚起を行うなど、日本でも問題視されていましたが、国内では感染したユーザーはほとんど見つからなかったようです。しかし、踏み台サイトの1つにアイカ工業のWebサイトがありました(10月25日には、いったん閉鎖)。会社名が大量にTLに載っています。

 偽インストーラーを利用したソーシャルエンジニアリングによる攻撃なので、OSやアプリケーションを最新にしても感染を防ぐことはできないはずです。それでもOSなどを最新版にするとよいと書いた注意喚起が幾つもあり、これに対して反論しているツイートもありました。

 Bad Rabbitは感染を広げるために脆弱性「EternalRomance」を利用していることが分かり、結果的には最新版に更新する対応でさほど問題がなかったようです。

 Bad Rabbitのソースの一部は、北朝鮮が以前作成したと判明しているマルウェア「ラザルス」に一致していました。北朝鮮の関与について言及しているツイートもありました。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。