ランサム攻撃発動しない「WannaCrypt」亜種が拡散 - 潜伏に注意
マルウェア「WannaCrypt」の感染端末を発信元としたパケットが引き続き観測されている。6月以降は、ランサムウェアとしての攻撃を行わないあらたな亜種が広がりを見せているという。
観測システムを運用する警察庁が、「WannaCrypt」や同マルウェア亜種の感染端末を発信元としたTCP 445番ポートに対するアクセスについて、観測状況を取りまとめたもの。
同マルウェアは、別名「WannaCryptor」「WanaCrypt0r」「Wanna Decryptor」「WannaCry」「WCry」としても知られるランサムウェア。既知のWindowsに関する脆弱性「MS17-010」を悪用して感染を広げるワームの性質を備え、5月12日前後よりワールドワイドに感染が拡大した。
同庁においても、5月12日より同マルウェアによる感染活動と見られるパケットを観測。14日から数日間にわたり、一時パケット量の減少も見られたが、その後はパケット量が増加。ロシアや中国、米国、インド、台湾、インドネシアなどを発信国とした同マルウェアによるパケットが引き続き観測されている。
同庁システムへパケットを送信した「WannaCrypt」感染端末のIPアドレス数の推移(グラフ:警察庁)
登場初期の段階で、セキュリティ機関による注意喚起や、特定ドメインへアクセスができる場合に活動を停止するいわゆる「キルスイッチ」機能が明らかになるなど、同マルウェアに対する対策が進んだが、その一方で「キルスイッチ」が働かないあらたな亜種が流通。
さらにランサムウェアの主要機能である「暗号化機能」を発動しない亜種が登場した。同庁によると、6月初旬以降に感染した端末は、こうした亜種への感染であることがわかっているという。
同庁では、当初の「WannaCrypt」と異なり、亜種はランサムウェアとしての症状が見られない分、感染へ気が付きにくく、ネットワークを通じて感染が拡大するおそれがあると指摘。ネットワークの不具合を引き起こしたり、 感染原因となった脆弱性が放置されていることへ気が付かず、他マルウェアの感染を引き起こす可能性もあるとして注意を呼びかけている。
(Security NEXT - 2017/06/22 )
ツイート
関連リンク
PR
関連記事
ランサム被害を公表、手作業で受注対応 - アサヒグループHD
ランサム被害で学生の個人情報流出を確認 - 宮城学院
竹内製作所の米国子会社がランサム被害 - データ流出も確認
監視カメラやNASを狙う「Mirai」感染活動を引き続き観測 - JPCERT/CC
タイ子会社でサーバや端末がランサム被害 - ダイヤHD
米子会社がランサム被害、影響など詳細を調査 - 天龍製鋸
工作機械メーカーのオークマ、ドイツ子会社でランサム被害
SonicWallのクラウドバックアップに攻撃 - FW情報が漏洩
委託先がランサム被害、ECサイト利用者に影響 - アテックスHD
ランサム攻撃によりサーバやPCが被害 - 建設資材機械設備メーカー
- 「Oracle E-Business Suite」が標的に - 更新や侵害状況の確認を
- 「Red Hat OpenShift AI」に脆弱性 - クラスタ管理者権限奪取のおそれ
- メールセキュ製品「Libraesva ESG」に脆弱性 - すでに悪用も、国家関与か
- ネットバンク不正送金被害が大幅減 - 平均被害額は高水準
- 「Cisco ASA」狙うゼロデイ攻撃、5月に複数政府機関で確認
- Cisco製FWやOSにクリティカル脆弱性 - すでに攻撃試行も
- 「SonicWall SMA 100」にアップデート - 既知マルウェアの除去機能を追加
- 「Cisco IOS/IOS XE」に脆弱性 - すでに悪用やPoC公開も
- 「SolarWinds WHD」に深刻な脆弱性 - 過去の修正をバイパス
- 「Chrome」にアップデート - 「V8」に関する脆弱性3件を修正
