ニュース
» 2016年04月19日 07時44分 UPDATE

JBossサーバ経由でランサムウェアに感染させる手口が横行、対応策は?

サーバの脆弱性を突いてランサムウェアの「Samsam」に感染させる手口が横行しているという。

[鈴木聖子,ITmedia]

 米Ciscoのセキュリティ部門Talosは、JBossサーバの脆弱性を突いてランサムウェアの「Samsam」に感染させる手口が横行し始めたと伝えた。インターネット上で脆弱性のあるマシンをスキャンしたところ、およそ320万台が危険にさらされていることが分かったとしている。

tgtrswratk02.jpg JBossを狙うランサムウェアへの注意喚起(Red Hatより)

 TalosではCiscoの顧客サポートを通じ、JBossが侵入経路として使われた事案について詳しく調査した。その結果、学校や政府機関、航空会社などのマシン2100台あまりで既にバックドアがインストールされているのが見つかったという。こうしたマシンではランサムウェアがいつ起動してもおかしくない状態だった。

 感染が見つかったJBossサーバのほとんどは複数のWebShellバックドアが仕込まれていて、別々の攻撃を受けて何度も感染していたことがうかがえるという。

 Talosはこれまでに見つかった不正なWebShellの一覧を公開。サーバにこうしたWebShellがインストールされているのが見つかった場合、可能であれば外部との接続を遮断し、イメージを作成し直してソフトウェアの更新版をインストールすることが望ましいと助言している。

tls002.jpg 不正なWebShell。これ以外にも攻撃に使われているものが存在する可能性もある(Cisco Systemsより)

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ