現地時間で2017年10月24日に、ロシア・ウクライナ・欧州などを中心に「Bad Rabbit」と呼ばれる新型ランサムウェアの感染被害が確認され、多くの機関において業務に支障が出るなどの深刻な影響が発生しています。
当該ランサムウェアに感染するとコンピュータのファイルが暗号化され、コンピュータが使用できなくなる被害が発生する可能性があります。
当該ランサムウェアを感染させる手口としては以下が報道されています。
1.攻撃者が、当該ランサムウェアを正規のインストーラ等に偽装して配布するウェブサイトへ誘導するコードを、一般のウェブサイトに埋め込む。
2.利用者が、改ざんされたウェブサイトにアクセスして、当該ランサムウェアをダウンロードおよび実行し感染する。
なお、現時点では当該ランサムウェアによって暗号化されたファイルを復号し元に戻す方法(ツール等)は確認されていません。
目次
「Bad Rabbit」に感染するとどうなるのか?
ランサムウェア「Bad Rabbit」は、感染したPCからネットワーク経由で拡散していきます。
当初、猛威を振るった「WannaCry」や「NotPetya」をベースにしたランサムウェアという見方がされていましたが、トレンドマイクロやCisco Systemsによると、「Bad Rabbit」はネットワークにSMB共有で接続されている別のPCなどを探索し、攻撃ツール「Mimikatz」なども使用して感染攻撃を仕掛けていきます。
そのため、「WannaCry」や「NotPetya」のような脆弱性を突いて拡散するタイプではないとの事です。
ランサムウェア「Bad Rabbit」は、感染するとPC上のファイルを暗号化し、ユーザに対して約40時間以内に0.05BTC(ビットコイン)を支払うよう要求し、期限を過ぎれば要求額を上げると脅してきます。
2017年10月27日時点で、1BTCは68万円程度、0.05BTCは3万4千円程度になります。
よくある莫大な金額を要求するランサムウェアに比べると、「この程度なら」と思わせる狙いがあるのかもしれません。
被害状況は?日本への影響は?
セキュリティソフトを出しているカスペルスキーは、「Bad Rabbit」の被害報告は既に200例ほどあると伝えています。
ロシアやウクライナでは、通信社などの企業や空港や地下鉄の公共機関、政府機関でも感染の報告が挙がっているようですが、まだ「Bad Rabbit」の被害かどうかは、確定情報ではないようです。
感染が拡大すると、いずれ「Bad Rabbit」が日本にも上陸してくる可能性もあり、時間の問題のようです。
しかし、セキュリティ製品をだしているFireEyeは、米国時間24日の声明で、感染攻撃の初期の数時間に日本が標的になったとしており、「複数の日本企業で攻撃の試みを検知し、防御した」とコメントしている事から、既に上陸しているとも言えます。
ESETは、同社が観測する感染経路の3.8%が日本だと報告も出しています。
実際の日本国内での被害状況は不明ですが、JPCERT/CCは「既に広がり始めていると考えられ、十分注意して感染を防ぐ事を推奨する」としており、メールやウェブサイトで関連情報の提供も呼びかけています。
感染を防ぐための対応策は?
どのウィルス・マルウェア・ランサムウェアなどにも言える事ですが、以下の事に注意する事が大事です。
1.不審なインストーラ等のプログラムを実行しない
正規のインストーラ等に偽装した当該ランサムウェアの実行を防ぐため、インストーラ等は公式サイトからダウンロードしたことを確認したうえで利用するようにしましょう。
また、不審なインストーラ等を確認した場合はシステム管理者等に問題ないか確認しましょう。
2.不審なメールの添付ファイルの開封やリンクへのアクセスをしない
ランサムウェアの感染には、細工したメールの添付ファイルを開封させる等の方法が用いられる場合があります。
メールの確認作業をする前に必ず以下の「3.」の対策を実施してください。
また、不審なメールを確認した場合はシステム管理者等に問題ないか確認しましょう。
3.ウイルス対策ソフトの定義ファイルを更新する
ご利用のウイルス対策ソフトの定義ファイルを最新のものに更新しましょう。
ご利用のウイルス対策ソフトが当該ランサムウェアを検知するかについては各ベンダにご確認の上、実行の事。
4.定期的なバックアップをする
ランサムウェアに感染した場合に備え、重要なデータは定期的なバックアップを実施しておきましょう。
バックアップデータを保存した機器はコンピュータやネットワークから切り離して保管してください。
実行ブロックして防御?
実際に試せないため未検証ですが、「Bad Rabbit」はFlashPlayerのインストーラを装って感染させるとの事。
「install_flash_player.exe」を実行すると、「C:windowsinfpub.dat」と「C:Windowscscc.dat」という2ファイルが生成されますが、この2ファイルの実行をあらかじめブロックしておくことで、ランサムウェアの感染を防止できるとの事です。
最後に
マルウェアやランサムウェアは、日を追うごとに次々に発生しています。
Windowsのセキュリティ更新を最新にしていても、セキュリティソフトを導入していても、完全に安全とは言えません。
日々、自分で怪しいと思われるところにはアクセスしないようにしないと、感染は広がってしまいます。
特に企業のPCで感染すると、ネットワーク経由で企業内の全てのPCに影響を及ぼす可能性があるため、業務に支障が出るレベルではなく、個人情報の流出、復旧の甚大な費用損失、考えられる事はたくさん発生します。
これらに感染しないために、1人ひとりが気を付けていく事が大事です。