サーバの脆弱性を突いてランサムウェアの「Samsam」に感染させる手口が横行しているという。
米Ciscoのセキュリティ部門Talosは、JBossサーバの脆弱性を突いてランサムウェアの「Samsam」に感染させる手口が横行し始めたと伝えた。インターネット上で脆弱性のあるマシンをスキャンしたところ、およそ320万台が危険にさらされていることが分かったとしている。
TalosではCiscoの顧客サポートを通じ、JBossが侵入経路として使われた事案について詳しく調査した。その結果、学校や政府機関、航空会社などのマシン2100台あまりで既にバックドアがインストールされているのが見つかったという。こうしたマシンではランサムウェアがいつ起動してもおかしくない状態だった。
感染が見つかったJBossサーバのほとんどは複数のWebShellバックドアが仕込まれていて、別々の攻撃を受けて何度も感染していたことがうかがえるという。
Talosはこれまでに見つかった不正なWebShellの一覧を公開。サーバにこうしたWebShellがインストールされているのが見つかった場合、可能であれば外部との接続を遮断し、イメージを作成し直してソフトウェアの更新版をインストールすることが望ましいと助言している。
Copyright © ITmedia, Inc. All Rights Reserved.