Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ランサム攻撃発動しない「WannaCrypt」亜種が拡散 - 潜伏に注意

マルウェア「WannaCrypt」の感染端末を発信元としたパケットが引き続き観測されている。6月以降は、ランサムウェアとしての攻撃を行わないあらたな亜種が広がりを見せているという。

観測システムを運用する警察庁が、「WannaCrypt」や同マルウェア亜種の感染端末を発信元としたTCP 445番ポートに対するアクセスについて、観測状況を取りまとめたもの。

同マルウェアは、別名「WannaCryptor」「WanaCrypt0r」「Wanna Decryptor」「WannaCry」「WCry」としても知られるランサムウェア。既知のWindowsに関する脆弱性「MS17-010」を悪用して感染を広げるワームの性質を備え、5月12日前後よりワールドワイドに感染が拡大した。

同庁においても、5月12日より同マルウェアによる感染活動と見られるパケットを観測。14日から数日間にわたり、一時パケット量の減少も見られたが、その後はパケット量が増加。ロシアや中国、米国、インド、台湾、インドネシアなどを発信国とした同マルウェアによるパケットが引き続き観測されている。

20170622_np_001.jpg
同庁システムへパケットを送信した「WannaCrypt」感染端末のIPアドレス数の推移(グラフ:警察庁)

登場初期の段階で、セキュリティ機関による注意喚起や、特定ドメインへアクセスができる場合に活動を停止するいわゆる「キルスイッチ」機能が明らかになるなど、同マルウェアに対する対策が進んだが、その一方で「キルスイッチ」が働かないあらたな亜種が流通。

さらにランサムウェアの主要機能である「暗号化機能」を発動しない亜種が登場した。同庁によると、6月初旬以降に感染した端末は、こうした亜種への感染であることがわかっているという。

同庁では、当初の「WannaCrypt」と異なり、亜種はランサムウェアとしての症状が見られない分、感染へ気が付きにくく、ネットワークを通じて感染が拡大するおそれがあると指摘。ネットワークの不具合を引き起こしたり、 感染原因となった脆弱性が放置されていることへ気が付かず、他マルウェアの感染を引き起こす可能性もあるとして注意を呼びかけている。

(Security NEXT - 2017/06/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず
不正サイトのマルウェア拡散、「仮想通貨採掘ツール」にシフト - 相場高騰が後押しか
445番ポートへのパケットを継続して観測、「WannaCrypt」の影響収束せず
「Bad Rabbit」の踏み台被害、対応に1カ月弱 - アイカ工業がサイト再開
Avast、Mac向けセキュリティ対策ソフトの新版 - ランサム対策追加
制御システムの37%で攻撃を検知 - 3割が製造業
新種ランサム「Bad Rabbit」は「EternalRomance」を悪用
Symantecも国内で「Bad Rabbit」を検知 - 観測ピークは発生2時間後
ウェブサイトの一部に改ざんの痕跡 - アイカ工業
「ランサムウェア」関連の相談が大幅減 - 一方で被害も