ここから本文です

世界で攻撃多発のランサムウェア、WannaCryと同じNSAのハッキングツールを利用

6/28(水) 9:14配信

ITmedia エンタープライズ

 セキュリティ企業のBitdefenderは、6月27日の世界同時攻撃に使われたランサムウェア「GoldenEye」(Petyaの亜種)について、米国家安全保障局(NSA)から流出したハッキングツール「EternalBlue」を使って感染を広げていることを確認したと伝えた。

【その後も情報がアップデートされている】

 EternalBlueは5月に世界で猛威を振るったランサムウェア「WannaCry」にも悪用されたハッキングツールで、Microsoft Server Message Block 1.0(SMBv1)の脆弱(ぜいじゃく)性「CVE-2017-0144」を悪用する。Kaspersky Labによれば、今回のランサムウェアはWindows XP~Windows 2008を標的として、TCP 445番ポート経由で拡散する。

 EternalBlueはハッカー集団「Shadow Brokers」が4月に流出させた大量のハッキングツールの中に含まれていた。Microsoftはその1カ月前の3月に、SMBv1の脆弱性を修正する更新プログラム「MS17-010」を配信。WannaCryの大規模攻撃を受けて、既にサポートが終了しているWindows XPなどのOS向けにも更新プログラムを公開する異例の措置を講じていた。

 Bitdefenderによると、GoldenEyeはEternalBlueのほかにも複数のハッキングツールを拡散に利用しているという。

 ニュースサイトのVergeによると、Microsoftは今回の攻撃を受け、「これまでの分析の結果、このランサムウェアは複数の手口を使って拡散していることが分かった。その中には、われわれが過去にWindows XP~Windows 10の全プラットフォーム向けに提供した更新プログラム(MS17-010)で対応済みのものも含まれる」とコメントしている。

 Shadow Brokersが流出させたNSAのハッキングツールはEternalBlueのほかにも多数あり、それを悪用した別のマルウェアの出現も相次いで報告されている。Shadow Brokersは7月から、会員向けに毎月新たな情報を提供する有料サービスも展開すると予告していた。