ONIに感染したマシンは、「すべてのファイルは暗号化されています」などの文言とともに、連絡先のメールアドレスが表示される。このアドレスには「Oninoy0ru」(鬼の夜)の文字列が使われているという。
ONIがほとんどのエンドポイントに対して使われるのに対し、MBR-ONIはActive Directoryサーバやファイルサーバといった重要なエンドポイントのみを標的としていることから、MBR-ONIは攻撃の真の動機を隠すためのワイパーとして使われている疑いがあるとCybereasonは推測する。
攻撃の過程で、米国家安全保障局(NSA)から流出したとされるハッキングツール「Eternal Blue」が使われた可能性があることも分かった。確認はできていないものの、攻撃が発生した時点で、感染したマシンには、Eternal Blueに利用されたWindowsの脆弱性を修正する更新プログラム(MS17-010)がインストールされていなかったという。
今回の攻撃は日本企業が標的にされているものの、ランサムウェアやワイパーを使った標的型攻撃は、世界的に増える傾向があるとCybereasonは指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.