ランサム攻撃発動しない「WannaCrypt」亜種が拡散 - 潜伏に注意
マルウェア「WannaCrypt」の感染端末を発信元としたパケットが引き続き観測されている。6月以降は、ランサムウェアとしての攻撃を行わないあらたな亜種が広がりを見せているという。
観測システムを運用する警察庁が、「WannaCrypt」や同マルウェア亜種の感染端末を発信元としたTCP 445番ポートに対するアクセスについて、観測状況を取りまとめたもの。
同マルウェアは、別名「WannaCryptor」「WanaCrypt0r」「Wanna Decryptor」「WannaCry」「WCry」としても知られるランサムウェア。既知のWindowsに関する脆弱性「MS17-010」を悪用して感染を広げるワームの性質を備え、5月12日前後よりワールドワイドに感染が拡大した。
同庁においても、5月12日より同マルウェアによる感染活動と見られるパケットを観測。14日から数日間にわたり、一時パケット量の減少も見られたが、その後はパケット量が増加。ロシアや中国、米国、インド、台湾、インドネシアなどを発信国とした同マルウェアによるパケットが引き続き観測されている。

同庁システムへパケットを送信した「WannaCrypt」感染端末のIPアドレス数の推移(グラフ:警察庁)
登場初期の段階で、セキュリティ機関による注意喚起や、特定ドメインへアクセスができる場合に活動を停止するいわゆる「キルスイッチ」機能が明らかになるなど、同マルウェアに対する対策が進んだが、その一方で「キルスイッチ」が働かないあらたな亜種が流通。
さらにランサムウェアの主要機能である「暗号化機能」を発動しない亜種が登場した。同庁によると、6月初旬以降に感染した端末は、こうした亜種への感染であることがわかっているという。
同庁では、当初の「WannaCrypt」と異なり、亜種はランサムウェアとしての症状が見られない分、感染へ気が付きにくく、ネットワークを通じて感染が拡大するおそれがあると指摘。ネットワークの不具合を引き起こしたり、 感染原因となった脆弱性が放置されていることへ気が付かず、他マルウェアの感染を引き起こす可能性もあるとして注意を呼びかけている。
(Security NEXT - 2017/06/22 )
ツイート
関連リンク
PR
関連記事
VPN経由でサイバー攻撃、ランサム被害が発生 - D&M
台湾子会社でランサム被害、影響など調査 - ニデック
システム障害が発生、ランサム被害か - フェースグループ
ランサムウェア被害が発生、営業活動は継続 - 食創
「Oracle PeopleSoft」脆弱性、ランサム攻撃にも悪用 - 米当局が注意喚起
研究室端末でランサム被害、手術動画が流出か - 九大
Check Pointのレガシー構成VPNにゼロデイ脆弱性 - 5月初旬より悪用
ランサム攻撃で情報流出、詳細は調査中 - 中央紙器工業
グループ会社2社でランサム被害 - 青山財産ネットワークス
ランサムウェア被害が発生、受発注や出荷に影響 - 松沢書店
