セキュリティ企業のBitdefenderは、6月27日の世界同時攻撃に使われたランサムウェア「GoldenEye」(Petyaの亜種)について、米国家安全保障局(NSA)から流出したハッキングツール「EternalBlue」を使って感染を広げていることを確認したと伝えた。
EternalBlueは5月に世界で猛威を振るったランサムウェア「WannaCry」にも悪用されたハッキングツールで、Microsoft Server Message Block 1.0(SMBv1)の脆弱(ぜいじゃく)性「CVE-2017-0144」を悪用する。Kaspersky Labによれば、今回のランサムウェアはWindows XP〜Windows 2008を標的として、TCP 445番ポート経由で拡散する。
EternalBlueはハッカー集団「Shadow Brokers」が4月に流出させた大量のハッキングツールに含まれていた。Microsoftはその1カ月前の3月に、SMBv1の脆弱性を修正する更新プログラム「MS17-010」を配信。WannaCryの大規模攻撃を受けて、既にサポートが終了しているWindows XPなどのOS向けにも更新プログラムを公開する異例の措置を講じていた。
Bitdefenderによると、GoldenEyeはEternalBlueのほかにも複数のハッキングツールを拡散に利用しているという。
ニュースサイトのVergeによると、Microsoftは今回の攻撃を受け、「これまでの分析の結果、このランサムウェアは複数の手口を使って拡散していることが分かった。その中には、われわれが過去にWindows XP〜Windows 10の全プラットフォーム向けに提供した更新プログラム(MS17-010)で対応済みのものも含まれる」とコメントしている。
Shadow Brokersが流出させたNSAのハッキングツールはEternalBlueのほかにも多数あり、それを悪用した別マルウェアの出現も相次いで報告されている。Shadow Brokersは7月から、会員向けに毎月新たな情報を提供する有料サービスも展開すると予告していた。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR