ランサム攻撃発動しない「WannaCrypt」亜種が拡散 - 潜伏に注意
マルウェア「WannaCrypt」の感染端末を発信元としたパケットが引き続き観測されている。6月以降は、ランサムウェアとしての攻撃を行わないあらたな亜種が広がりを見せているという。
観測システムを運用する警察庁が、「WannaCrypt」や同マルウェア亜種の感染端末を発信元としたTCP 445番ポートに対するアクセスについて、観測状況を取りまとめたもの。
同マルウェアは、別名「WannaCryptor」「WanaCrypt0r」「Wanna Decryptor」「WannaCry」「WCry」としても知られるランサムウェア。既知のWindowsに関する脆弱性「MS17-010」を悪用して感染を広げるワームの性質を備え、5月12日前後よりワールドワイドに感染が拡大した。
同庁においても、5月12日より同マルウェアによる感染活動と見られるパケットを観測。14日から数日間にわたり、一時パケット量の減少も見られたが、その後はパケット量が増加。ロシアや中国、米国、インド、台湾、インドネシアなどを発信国とした同マルウェアによるパケットが引き続き観測されている。
同庁システムへパケットを送信した「WannaCrypt」感染端末のIPアドレス数の推移(グラフ:警察庁)
登場初期の段階で、セキュリティ機関による注意喚起や、特定ドメインへアクセスができる場合に活動を停止するいわゆる「キルスイッチ」機能が明らかになるなど、同マルウェアに対する対策が進んだが、その一方で「キルスイッチ」が働かないあらたな亜種が流通。
さらにランサムウェアの主要機能である「暗号化機能」を発動しない亜種が登場した。同庁によると、6月初旬以降に感染した端末は、こうした亜種への感染であることがわかっているという。
同庁では、当初の「WannaCrypt」と異なり、亜種はランサムウェアとしての症状が見られない分、感染へ気が付きにくく、ネットワークを通じて感染が拡大するおそれがあると指摘。ネットワークの不具合を引き起こしたり、 感染原因となった脆弱性が放置されていることへ気が付かず、他マルウェアの感染を引き起こす可能性もあるとして注意を呼びかけている。
(Security NEXT - 2017/06/22 )
ツイート
関連リンク
PR
関連記事
クラウドサーバにランサム攻撃、患者情報流出 - 日本美容医療研究機構
子会社がランサム被害、受注出荷に影響も生産継続 - 九州電子
委託先の特許管理システムにマルウェア、情報流出の可能性 - 埼大
サーバがランサム感染、顧客情報流出の可能性 - ネクサスエナジー
サーバデータが暗号化被害、内部に個人情報 - タカカツグループHD
ランサム被害の調査を継続、受注や発送は再開 - メディカ出版
CiscoやAppleなど脆弱性6件を悪用リストに追加 - 米当局
ランサム被害で個人情報流出、受注や出荷が停止 - メディカ出版
ランサム被害で障害、出荷は再開 - 日本スウェージロックFST
サーバがランサム被害、影響など詳細を調査 - 丸高興業
- 「Chrome 147」が公開 - 「クリティカル」2件含む多数脆弱性を修正
- 米当局、「Ivanti EPMM」脆弱性の悪用で米行政機関へ緊急対応を要請
- ネットバンキング不正送金、被害額が5倍に - 法人は21倍
- 「MS Edge」にセキュリティ更新 - KEV登録済みゼロデイ脆弱性を修正
- 「FortiClient EMS」に深刻な脆弱性、すでに悪用 - ホットフィクス適用を
- 「Cisco IMC」に複数の脆弱性 - 管理者権限を奪われるおそれも
- ビデオ会議ツール「TrueConf」にゼロデイ攻撃 - アップデート機能に脆弱性
- 「Cisco SSM」に深刻な脆弱性 - API経由でコマンド実行のおそれ
- 「Chrome」にアップデート、脆弱性21件を修正 - 一部で悪用も
- テキストエディタ「Vim」に脆弱性 - 細工ファイル開くとコード実行
