今週発生したランサムウェアについて - Wannacry、Erebus、Mole

セキュリティとストレージのリーディングカンパニー > ブログ > ランサムウェア関連 > 今週発生したランサムウェアについて - Wannacry、Erebus、Mole

今週発生したランサムウェアについて - Wannacry、Erebus、Mole
Christine Barry

2017年07月25日

ランサムウェアには、さまざまな側面があります。今週、世界のあちこちで興味深い攻撃が3件発生しました。今日は、この3つの攻撃を取り上げます。



まずはWannacryです。これは、歴史上最も有名なランサムウェアでしょう。Wannacryについては、過去にブログでも取り上げたことがあります。当時は、世界中で猛威を振るっていたこの攻撃も、現在では下火になり、被害規模も小さくなりつつあります。このような状況が続いていたのですが、月曜日に状況が一変します。この日、北米、日本、ヨーロッパ、中国にあるホンダのネットワークが、ランサムウェア攻撃の標的になったのです。

攻撃を受けたホンダは、埼玉工場の稼働を停止しました。この工場では、1日あたり1,000台の車が製造されていました。火曜日になって埼玉の工場は稼働を再開しており、他の施設への影響は出ていません。ホンダは、5月中にシステムのさらなるセキュリティ強化対策を講じているのですが、今週発生したランサムウェアの侵入方法は明らかにされていません。

5月の攻撃では、ルノーと日産もWannacryの被害に遭っています。この攻撃により、日本、英国、フランス、ルーマニア、インドの製造工場が稼働停止に追い込まれました。業界エキスパートは、新たな亜種の出現を警告しています。



次は、Erebusです。2016年9月に発見されたランサムウェアであり、PCワークステーションからLinux/Windowsサーバへとあっという間に感染を拡大するのが特徴です。

ここ数週間の間、Nayanaという韓国のWebホスティング会社は、感染した153のLinuxサーバと3,400のビジネスWebサイトの対応に追われていました。そして6月12日に、「Erebusによる暗号化が原因のシステム障害」を発表しました(英語リンクあり)。The Merkelによると、ファイルの復号化のためにNayanaは100万ドルの身代金支払に合意したとのことです。身代金の要求額は当初およそ165万ドルでしたが、交渉の結果、100万ドルで決着しました。身代金の支払はビットコインでしたが、1回の取引額に制限があるため、3回に分けて支払が行われたそうです。

Nayanaのサーバソフトウェアは、何年もアップデートされていない状態でした。Linuxカーネルのアップデートは2008年、ApacheとPHPは2006年のバージョンだったのです。現時点ではサーバへの侵入方法は明らかになっていませんが、ソフトウェアのバージョンとパッチの状態を考えると、既知の脆弱性を悪用してランサムウェアが侵入したとみられます。

身代金を支払ったからといって、データがすべて復号化され、使用可能な状態に戻る保証はありません。復号化のプロセスで失われるデータもありますし、支払が完了するまでロック状態が続く可能性もあります。さらには、ランサムウェアの設定に誤りがあれば、身代金を支払った被害者が正しく特定されない恐れもあるのです。この場合、身代金を支払っても何ら状況は変わりません。Nayanaも同じ状況に陥っているとは限りませんが、「身代金を支払ったからといって全データを復元できる保証はない」という点を確認するよい機会です。



最後はMoleです。これは、先週UCL(ロンドン大学)とアイスター大学をオフラインに陥れたランサムウェアです。Moleは今年の4月に発見されたランサムウェアであり、CryptoMixファミリの1つです。研究グループは、巨大なマルバタイジングネットワークを持つAdGholasグループがMoleを拡散していると見ています。AdGholasは2015年に発見された不正広告キャンペーンであり、複数の高度な手法を使って1日に数千人のユーザに感染しています

先週のUCLに関する記事でも書きましたが、大学のスタッフによると、細工されたWebサイトにユーザがアクセスした後、ネットワークが感染しました。このようなサイトは、ユーザに入力を求めません。被害者のコンピュータを分析して脆弱性を特定し、弱点を突いた攻撃を仕掛けてくるのです。

興味深いのは、AdGholasがよく使う手口はステルス攻撃だという点です。たとえば、金融機関を狙った標的型攻撃(APT)や、偵察とデータ流出を行う攻撃ソフトウェアなどがあります。ランサムウェアはAdGholasの攻撃スタイルではありませんが、ランサムウェアの高い収益性に目を付けたのかもしれません。

以上3つのランサムウェア攻撃は、ソフトウェアアップデートで回避できたかもしれません。これは、パッチや修正をできるだけ早く適用することの重要性を示しています。もちろん、パッチ適用の前にテストなどの手順が必要な場合など、迅速な対応ができない環境も存在します。ネットワークセキュリティを実装することによってランサムウェアとC&Cサーバの通信を阻止し、データ復元ソリューションを実装することによって攻撃後にファイルを復旧することが可能になります。最も重要なのは、適切な対策を確実に実践することです。データリカバリ、ソフトウェアアップデート、ユーザトレーニングを包括的に実行できるセキュリティソリューションを導入してください。

ネットワークやユーザをランサムウェア攻撃から保護するバラクーダネットワークスのソリューションについては、こちらのサイトまたはブログをご覧ください。


*本内容はBarracuda Product Blog 2017年 6月22日 Wannacry, Erebus, and Mole make it a big week for ransomware を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お役立ち情報満載の資料ダウンロード|機能詳細、導入構成、モデル一覧などお役立ち情報が満載です。

お問い合わせはこちら

03-5436-6235 受付時間 平日9:00〜17:00

Webからのお問い合わせはこちら