WannaCryは序章? NSAツールを悪用したマルウェアが相次ぎ出現

ネットワークワームの「EternalRocks」は、NSAのツールを長期的に悪用し、感染マシンを攻撃の発射台として利用する意図をもつ。

» 2017年05月23日 10時00分 公開
[鈴木聖子ITmedia]

 世界中で猛威を振るったランサムウェアの「WannaCry」。しかしこの攻撃と前後して、同じ米国家安全保障局(NSA)のハッキングツールを使った別のマルウェアの出現が報告されている。WannaCry以上の大規模攻撃を予想する見方もある。

 セキュリティ企業Heimdal Securityのブログや、クロアチアのセキュリティ研究者がGitHubで公開した情報によると、「EternalRocks」(別名BlueDoom)と呼ばれるマルウェアは5月上旬に出現が確認された。自己増殖機能を持つネットワークワームで、WannaCryにも悪用された「EternalBlue」をはじめ、NSAから流出したSMBの脆弱(ぜいじゃく)性悪用ツール7種類を組み合わせて使っているという。

EternalRocks セキュリティ企業Heimdal Securityがブログで解説

 NSAの悪用ツールはいずれも、ハッカー集団「Shadow Brokers」が4月に流出させた情報に含まれていた。

 EternalRocksはWannaCryと違って、NSAのツールを長期的に悪用する意図があるとHeimdalは分析する。WannaCryのように標的をランサムウェアに感染させるのではなく、「現時点では今後の攻撃に向けた発射台の確立に重点を置いている」とみられる。

 感染後24時間は休眠状態を保ち、続いてTorを利用して制御用サーバと通信。攻撃に必要なコンポーネントをダウンロードし、感染させたマシンを制御できる状態に置く。WannaCryと違って「キルスイッチ」も存在しないという。

EternalRocks GitHubでもセキュリティ研究者が情報を公開している

 「セキュリティ業界はこうした事態を恐れていた。恐らくWannaCry以上に広範な感染の文脈がこれで整った可能性もある」。Heimdal Securityの研究者はそう指摘している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ