ニュース

新種ランサムウェア「GoldenEye」が世界各地に感染拡大、SMB v1の脆弱性「MS17-010」を突いて感染

 「WannaCry」同様、Windows SMB v1の脆弱性「MS17-010」を突いて感染を広げる新種のランサムウェアが27日以降、ウクライナを中心に世界各地に感染を拡大していることについて、米SANS ISC(Internet Storm Center)や、Bitdefender、Kaspersky、Symantec、Avastなどのセキュリティベンダー各社が注意を喚起している。

 2016年に出現したランサムウェア「Petya」の新しい亜種となるもので、Bitdefenderでは「GoldenEye」と名付けている。Petyaは、HDDのMBR(マスターブートレコード)を暗号化し、PCを起動不能にした上で、ビットコインで300ドルの身代金要求メッセージを表示するが、今回登場したGoldenEyeは、MBRに加えてファイルの暗号化も行う。

 SymantecやKasperskyによれば、これまでのPetyaは標的型攻撃に悪用されていたが、今回のGoldenEyeは、MS17-010を悪用して、ネットワーク内PCへ感染を拡大するという。

 このほか、Word/ワードパッドの脆弱性「CVE-2017-0199」を悪用し、メールの添付ファイルを開くと感染するとの一部情報もある。さらに、Telnetに代わるWindows用のリモートアクセスユーティリティ「PsExec」や、Windowsのコマンドラインツール「WMIC」を悪用する可能性も一部では指摘されている。

 Bitdefenderによれば、チェルノブイリ原子力発電所の放射線モニタリングシステム、ウクライナの銀行、キエフの空港や地下鉄のほか、デンマーク、英国、ロシアにも感染が拡大しているという。

 Petya自体に対してはすでに復号化ツールも存在しているが、GoldenEyeにより暗号化されたMBRとファイルの復号は現時点では不可能だ。Avast Softwareによれば、GoldenEyeに感染したPCの比率は、Windows 7が78%、Windows XPが14%、Windows 10が6%、Windows 8.1が2%となっている。