WannaCryの危機再び。新たな拡大感染型ランサムウェアGoldenEye/Petyaが全世界で拡散中。

サイバー・グリッド・ジャパンの仲上です。

「自診くん」をご活用いただきありがとうございます。
今回の投稿も、自診くんでの自己診断が有効なランサムウェアのお話です。

6月27日に発生が確認された新型マルウェア「GoldenEye(またはPetya亜種)」は、WannaCryと同様にWindowsの脆弱性を利用して感染拡大するタイプのマルウェアと言われ、ヨーロッパ・アメリカを中心に猛威を振るっており、現時点でウクライナ政府や、ロシアの国営石油会社、イギリスの大手広告代理店、アメリカの製薬メーカーなど影響力の大きな組織や企業が機能不全に陥っていると報道されています。

一般的なランサムウェア攻撃はパソコンのファイルを勝手に暗号化し、ファイルの回復を人質にして身代金を要求するサイバー犯罪です。

5月に発生したランサムウェアWannaCryによるサイバー攻撃では、Windowsの脆弱性とインターネットに公開されたネットワークポートから侵入して感染を広げることから爆発的に増殖し、世界中で大きな被害をもたらしたことも記憶に新しいところです。

今回のGoldenEyeは、初期感染原因はメールの添付書類（Office関連）が原因との報道もありますがまだ特定されていません。しかし、感染後はWannaCryと同様にハッカー集団ShadowBrokersによって公開されたEternalBlueと呼ばれる攻撃手法によって感染拡大すると言われています。EternalBlueはSMBv1の脆弱性(MS17-010等のパッチによって対処可能）と、その通信ポートである445/TCPからの感染を狙うものです。

また、あらかじめパソコンに仕掛けられたDouble Pulsarと呼ばれるバックドア（ネットワークに繋がる裏口）を利用する可能性もあります。

6月22日に警察庁が発表した報告書「ランサムウェア「WannaCry」の亜種に感染したPCからの感染活動とみられる445/TCP」では、WannaCryのキルスイッチ（機能無効化）が行われた以後も、継続してTCPポート445へのアクセス増加が観測されていることが指摘されており、従来のキルスイッチによる対処が効かない新種による被害の発生が警戒されていた中での出現となりました。

さらにGoldenEyeは、WMICやPsExecといった手法を利用して、組織内部での拡散を行うとも言われています。

急激に感染が拡大している状況ですので、今一度、以下をご確認いただければと思います。

ご確認頂きたいこと

• Microsoft Windows/Officeの最新セキュリティパッチの適用
• インターネット接続時のポート445の外部公開設定
• 感染したパソコンを社内に持ち込んだ場合、そのパソコンの管理者権限が取られた場合の社内への影響範囲の把握

今回と同様の手法で感染するWannaCryへの詳しい対処方法については、「ランサムウェア「WannaCry」対策ガイド rev.1」をご参照ください。

また、インターネット利用時のポート安全性の確認には、先日公開した自己診断サイト「自診くん」をご活用ください。

なお、JPCERT/CCは、「インターネット経由の攻撃を受ける可能性のある PC やサーバに関する注意喚起」という情報を掲載し、問題の認知活動を行っています。

ラックでは引き続きWannaCry、GoldenEyeの活動を注視してまいります。