感染拡大中のランサムウェア「Bad Rabbit」にご注意ください

2017.10.30

2017 年 10 月 24 日、ロシアとウクライナの企業・組織が Bad Rabbit の攻撃を受けました。Bad Rabbit は、NotPetya と共通点がある新種のランサムウェアです。



その日の夕方にはトルコやドイツを含むヨーロッパにも感染が広がり、これまでに空港、鉄道駅、報道機関が被害を受けたことが報告されています。


ロシアの通信社 Interfax は Twitter への投稿で、Bad Rabbit が原因でサーバーが数台停止したために Facebook アカウントからニュースを伝えていると報告しています。



ソーシャルエンジニアリングから始まる攻撃

Bad Rabbit の感染は、ハッキングされたロシアのメディアサイトから始まったようです。ユーザーが当該のサイトにアクセスすると、Adobe Flash のインストーラを装ったファイルがダウンロードされます。

ユーザーのコンピュータに感染した Bad Rabbit は、自身に埋め込まれているユーザー名とパスワードのリストを使用してネットワーク全体への拡散を試みます。これらの認証情報には、「最悪なパスワード」リスト (リンク先: 英語) のパスワードが含まれています (このことからも、企業ファイアウォールで保護されている場合も、推測されにくいパスワードの選択が重要であることは明らかです)。





次に、感染したコンピュータのファイルを暗号化してファイル名の末尾に encrypted を追加するだけでなく、マスターブートレコード (MBR) も暗号化します。その後、次のようなメッセージを表示して、Tor の隠しサービス (ダークウェブ上の匿名サイト) 経由で身代金を支払うようユーザーに要求します。



(引用文日本語訳)
あなたのファイルは暗号化されました。
このテキストが表示されているということは、ファイルにアクセスできなくなったということです。
ファイルを復元する方法をお探しかもしれませんが、時間のムダです。
我々が提供する復号化サービスなしにファイルを復元することは不可能です。
我々は、すべてのファイルの安全な復元を保証します。
あなたがしなければならないのは、身代金を支払って復号化パスワードを手に入れることだけです。
この Web サービス ([省略]) にアクセスしてください。


ユーザーが Tor ブラウザを使用して Bad Rabbit の Web サイトにアクセスすると、復号鍵の代金の支払いを求められます。本稿執筆時点 [2017-10-25T16:45Z] で、攻撃者は 280 ドルに相当する XBT 0.05 (ビットコインの 20 分の 1) を要求しています (下図参照)。





対策

ソフォス製品は現在、Bad Rabbit マルウェアを Troj/Ransom-ERK としてブロックします。

また、Sophos Intercept X は Bad Rabbit によるデータへの攻撃をプロアクティブに防止します。Intercept X の CryptoGuard コンポーネントがファイルの暗号化を阻止し、WipeGuard コンポーネントがブートセクタを改ざんする低レベルのディスク書き込みを防止します。

(ソフォスの保護機能の詳細については、ナレッジベースの記事「Bad Rabbit ランサムウェア: 対処策」を参照してください。)

この種の感染への対策として、以下を実行することが推奨されます。



  • ・Flash の使用を完全に止める。偽の Flash インストーラとアップデートがソーシャルエンジニアリングで効果を発揮するのは、ユーザーが Flash を使用しているか使用を望んでいる場合に限られます。Flash を完全に削除することで、Flash のゼロデイ脆弱性からコンピュータを保護できるだけでなく、偽のアップデートをダウンロードしてしまうこともなくなります。

  • ・パッチは速やかに適用する。NotPetya や WannaCry などのランサムウェアは、パッチがすでに公開されていた脆弱性を悪用していました。既知のセキュリティホールを修正するパッチが利用可能になり次第、直ちに適用してください。

  • ・バックアップを忘れない。バックアップは定期的に行い、最新のバックアップをオフラインとオフサイトの両方に保管してください。こうすることで、火災や洪水などマルウェアとは関係なく職場が立ち入り禁止になった場合でも、データにはアクセスすることができます。

  • ・ユーザーを管理者にしない。管理タスクを実行する場合は、自分自身を管理者権限に昇格させ、タスクが終了したら直ちに権限を元に戻してください。ユーザーがネットワーク上の他のコンピュータに対して管理者権限でアクセスできる場合、Bad Rabbit のようなネットワーク対応型マルウェアはそのユーザーのパスワードを推測しなくても拡散が可能です。


ランサムウェアの詳細については、ホワイトペーパー「ランサムウェアから身を守るには」をお読みになるか、以下のソフォス Techknow ポッドキャスト (英語) をお聴きください。



今すぐ視聴する



(オーディオプレーヤーが動作しない場合は、ダウンロードするか、Soundcloud でお聴きください。)



自宅のコンピュータについては、無料の Sophos Home Premium Beta の使用を検討してください。このベータ版には、前述したファイルおよびディスクセクタの不正な暗号化をブロックする CryptoGuardWipeGuard の機能が搭載されています。

引用元

おすすめの記事はこちら