ランサムウェアの脅威が継続 IoT機器を狙ったボットが猛威振るう
2017年7月14日 08:13
ファイルを暗号化し、解除と引き換えにビットコインの支払いを要求するランサムウェアの攻撃が激化している。5月に発生したWannaCryでも欧州を中心に被害が広がったが、今回の脅威も同様、欧州が感染の中心で特にウクライナでは被害が深刻化している。ランサムウェアは「PETYA(ペトヤ)」の亜種で、これまでにチェルノブイリ原子力発電所、インド最大のコンテナ港、米国の医療施設を含む多数の施設や組織に攻撃を加えている。被害者が攻撃者にビットコインの支払いを伝えるEメールアドレスは、すでに第三者の手によってブロックされているため、暗号化が解除されることはないという状況だ。
【こちらも】セキュリティ動向、2016年は国内外でランサムウェアが猛威を振るう
PETYAの亜種ナットペトヤ(NotPetya)はWannaCry同様、米国国家情報局(NSA)が発見したWindowsの脆弱性、エターナルブルー(EternalBlue)を悪用してコンピューター・デバイスに侵入する。ナットペトヤはハッキングされたソフトウェア・アップデートを通じて侵入先を見つけ、コンピューターのメモリ上の管理者の認証情報を抜き取り、ネットワーク上で感染を広める。
感染すると最低でも1時間経過後にPCを再起動するタスクをスケジュールに追加すると同時に、OSの起動時に必ず読み込む必要のある「マスター・ブート・レコード(MBR)」の上書きと暗号化を実施する。感染するとコンピューターのファイルが暗号化され、OS が起動しなくなる。代わりに身代金(米300ドル)の要求画面が立ち上がる。暗号化されるファイルの拡張子は60種類以上が対象となっており、一般的に活用される種類のファイルは網羅されている。現在のところナットペトヤにより暗号化されたファイルの複合化手段は見つかっておらず、犯行目的やランサムウェアの開発者も明らかになっていない。
猛威を振るうランサムウェアだが、さらに対策が難しく被害が広がる可能性があるのが、IoT機器などに感染するボットネットだ。脆弱性を持ったデバイスが増え続けているなか、中央集権サーバをダウンさせることを目的とした攻撃の踏み台となる可能性が高まっている。昨年、米国ではミライ(mirai)と呼ばれるボットネットがドメイン管理事業者、ダインのサーバを攻撃し、東海岸全域でインターネットが機能停止した。こうした脅威は今後も増加すると予想されており、セキュリティパッチの更新やセキュリティ対策ソフトでは対処できないものがあることも頭に入れておきたい。(編集担当:久保田雄城)