WannaCryは序章? NSAツールを悪用したマルウェアが相次ぎ出現
ネットワークワームの「EternalRocks」は、NSAのツールを長期的に悪用し、感染マシンを攻撃の発射台として利用する意図をもつ。
世界中で猛威を振るったランサムウェアの「WannaCry」。しかしこの攻撃と前後して、同じ米国家安全保障局(NSA)のハッキングツールを使った別のマルウェアの出現が報告されている。WannaCry以上の大規模攻撃を予想する見方もある。
セキュリティ企業Heimdal Securityのブログや、クロアチアのセキュリティ研究者がGitHubで公開した情報によると、「EternalRocks」(別名BlueDoom)と呼ばれるマルウェアは5月上旬に出現が確認された。自己増殖機能を持つネットワークワームで、WannaCryにも悪用された「EternalBlue」をはじめ、NSAから流出したSMBの脆弱(ぜいじゃく)性悪用ツール7種類を組み合わせて使っているという。
NSAの悪用ツールはいずれも、ハッカー集団「Shadow Brokers」が4月に流出させた情報に含まれていた。
EternalRocksはWannaCryと違って、NSAのツールを長期的に悪用する意図があるとHeimdalは分析する。WannaCryのように標的をランサムウェアに感染させるのではなく、「現時点では今後の攻撃に向けた発射台の確立に重点を置いている」とみられる。
感染後24時間は休眠状態を保ち、続いてTorを利用して制御用サーバと通信。攻撃に必要なコンポーネントをダウンロードし、感染させたマシンを制御できる状態に置く。WannaCryと違って「キルスイッチ」も存在しないという。
「セキュリティ業界はこうした事態を恐れていた。恐らくWannaCry以上に広範な感染の文脈がこれで整った可能性もある」。Heimdal Securityの研究者はそう指摘している。
関連記事
- 「NSAのハッキングツール」新たに大量流出 Windowsの脆弱性悪用も
Microsoftによると、ハッキングツールで悪用されていた脆弱(ぜいじゃく)性の大半はすでに修正されている。国際間の銀行決済に使われるSWIFTのシステムがNSAの標的になっていたとの情報もある。 - 「WannaCry」の拡散、電子メールが原因ではなかった セキュリティ企業が分析結果公表
「WannaCryが電子メール経由で拡散したという憶測は間違いだった」。セキュリティ企業のMalwarebytesがそう断定した。 - ランサムウェア「WannaCry」、医療機器メーカーも独自パッチを準備
「WannaCry」の影響は大手医療機器メーカーや産業機器メーカーの製品にも及んでいる。独Siemensはアップデートの公開準備を進めていることを明らかにした。 - NSA関与の集団に狙われた組織、日本も多数 Shadow Brokersが新たなリーク
標的とされたホストのうち日本は41件を占め、中国の56件に次いで多かった。 - ハッカー集団が流出させた「サイバー兵器」、米政府機関の関与を確認
ハッカー集団「Equation Group」が流出させたハッキングツールの中に、正真正銘のNSAのソフトウェアが含まれていることを確認したとThe Interceptが伝えた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.