ランサムウェア「Bad Rabbit」配布目的で、国内企業サイトが改ざん被害

　10月24日に感染が拡大したランサムウェア「Bad Rabbit」の配布を目論んだとみられるウェブサイト改ざん被害が、アイカ工業株式会社（愛知県清須市）のウェブサイトで発生した。

　Bad Rabbitは、ウェブサイトからAdobe Flashのインストーラーを偽装した「install_flash_player.exe」をダウンロードさせて感染を広げる。

　アイカ工業では、25日12時17分にサイトを閉鎖。サイトを管理する外部委託会社やセキュリティベンダーとともに調査を進めたところ、ウェブサーバー内のファイル1つが外部の何者かによって書き換えられ、その後、修復された痕跡があることが、26日15時30分までに判明したという。

　セキュリティベンダーのESETが運営するセキュリティ方法サイト「WeLiveSecurity」では、Bad Rabbitの配布を目的に改ざんされたウェブサイトのドメインを公表している。多くはロシアの「.ru」、ウクライナの「.ua」ドメインが占めているが、「www.aica.co.jp」も、これに含まれている。

　ESETによれば、Bad Rabbitが検知された地域の分布はロシアがトップで65％、以下、ウクライナ（12.2％）、ブルガリア（10.2％）、トルコ（6.4％）が続くが、日本も3.8％で5位となっている。

　シマンテックの公式ブログによる情報では、Bad Rabbitによる攻撃を受けたユーザーの比率はロシアが86％を占め、日本は3％。うち企業ユーザーが84％を占めているという。ただし、拡散が開始したのは日本時間の24日19時で、21時にロシアで攻撃の大多数が発生、その後は沈静化しているとのことだ。

　なお、Bad Rabbitに感染すると、オープンソースツール「DiskCryptor」により対象の拡張子を持つファイルを暗号化されるほか、同梱するオープンソースソフト「Mimikatz」を悪用し、感染PCの資格情報を窃取。SMBを通じてローカルネットワーク内のほかのPCへと感染を広げる機能を備えている。

　なお、トレンドマイクロによれば、Mimikatzによる総当たり攻撃での資格情報窃取に失敗した場合には、Microsoftが3月にリリースしたセキュリティ更新プログラム（パッチ）で修正されているSMB v1の脆弱性「CVE-2017-0145」（別名：EternalRomance）を悪用して感染拡大を試みるという。これは“EternalBlue”と呼ばれ、同時にパッチが提供されたSMB v1の脆弱性「CVE-2017-0144」とは異なるもの。コード解析を行ったトレンドマイクロでは、「PETYA」と共通する部分は少ないことからも、Bad Rabbitについて「新種」としている。

　IPAによるランサムウェア検体の検証によれば、ランサムウェアに感染すると、一定時間後にPCが再起動されファイルは暗号化される。この時、操作は可能だが、さらに一定時間経過後に、再度PCが再起動し、MBRが書き換えられてPCが正常に起動しなくなり、以下のような身代金要求画面が表示されるという。

【記事追記 15:19】
　トレンドマイクロ発表に基づく内容を追記しました。