ニュース

「EternalBlue」悪用した攻撃、2017年のWannaCry大規模感染時を上回る数で検出される

 脆弱性攻撃ツール「EternalBlue」を悪用した攻撃が2019年上半期も増加し続けていることが、キヤノンマーケティングジャパン株式会社の調査で分かった。この調査の詳細は、同社が公開した「2019年上半期マルウェアレポート」から確認できる。

SMB 1.0のポートをインターネット上に公開している機器は7万台、日本は米国に次ぎ2番目

 EternalBlueは、ファイル共有やプリンター共有で使用される通信プロトコルSMB 1.0の内部処理に起因する脆弱性を利用したもので、悪用するとリモートから任意のコードを実行することができる。2017年に大規模感染を引き起こしたランサムウェア「WannaCry」では感染を広げる目的でEternalBlueが悪用された。

 WannaCryの脅威が収束するとともにEternalBlueを悪用した攻撃も2017年7月以降は一時的に減少するが、同年9月ごろから増加に転じ、2019年5月時点ではWannaCry大規模感染時を上回る数のクライアントで、EternalBlueによる攻撃が検出された。

EternalBlueの攻撃を検出したクライアントの数

 なお、インターネット上に公開されている機器を検索できるサービス「Shodan」では、SMB 1.0のポートをインターネット上に公開している機器の数が日本では7万3852件だった。これは米国の41万1329件に次ぐ多さだった。

 EternalBlueを悪用した攻撃が継続して行われている要因として、マイクロソフトが提供するセキュリティ更新プログラム(MS17-010)が適用されていない可能性や、他のマルウェアの感染拡大目的に悪用されていることが挙げられる。また、EternalBlueを悪用した攻撃をテストできるペネトレーションツール「Metasploit」の使用により、検出数が増加した可能性もあることをキヤノンマーケティングジャパンの石川堤一氏(エンドポイントセキュリティ企画本部エンドポイントセキュリティ技術開発部マルウェアラボ)は指摘する。

売買される脆弱性情報、2万3000円から攻撃を依頼できるウェブサイトの存在も

 脆弱性を悪用した攻撃については、2019年上半期だけで2018年の総検出数の約75%に相当する。これらの攻撃に使用される脆弱性の中には、WannaCryで使用されたEternalBlueのように、長期にわたり継続的に攻撃に使用される脆弱性もある。

 ディープウェブやダークウェブでは、脆弱性情報や脆弱性を悪用したプログラムなどが売買されており、これが攻撃を増加させている要因の1つにもなっている。

 例えば、Microsoft Officeの脆弱性を悪用したマルウェアを作成できるウェブサイトでは、攻撃対象のクライアントで実行させたいプログラムを指定すると、プログラムが埋め込まれたWordファイルが作成される。こうしたファイルをメールに添付することでサイバー攻撃に悪用することが可能だ。

 更新プログラムが提供されていない脆弱性を悪用して、ウェブサイトなどの改ざんも請け負っているMaaS(Malware as a Service)なども確認されている。ここでは攻撃の規模や品質に応じて、約2万3000円から依頼することができる。

ウェブサイト画面

 脆弱性に対して、更新プログラムの適用やバージョンアップ作業を迅速に行うためには、定期的な脆弱性情報の収集・分析、適用する更新プログラムの優先順位の検討、脆弱性管理を効率化するソフトの導入・運用など、計画的に準備する必要がある。

「Emotet」感染狙うばらまき型メールが拡散、一度活動休止するも進化し続けるマルウェア

 モジュール型のマルウェア「Emotet」の感染を狙ったばらまき型のメールが2018年11月に日本国内で確認されているが、2019年上半期も継続して拡散していた。

 Emotetは2014年の発見以降、ワーム機能やメールの情報を窃取する機能、「TrickBot」などほかのマルウェアをダウンロードする機能を追加して強化されている。元々はバンキングマルウェアとして利用されていたが、現在では主に他のマルウェアに感染させるローダーとして利用されている。2015年後半から2017年初めにかけては一時的に活動を停止していたが、2017年3月ごろから再び活動が見られるようになった。

Emotet感染の流れ

 Emotetの感染を狙ったばらまき型メールの件名や本文は日本語で書かれているが、自動翻訳を使用したような不自然な文章になっている。一方でメールに添付されたWordファイルは英語表記だった。

Emotetの感染を狙ったばらまき型メールの一例

 4月にEmotetの感染を狙ったばらまき型メールは、「VBA/TrojanDownloader.Agent.NNZ」「VBA/TrojanDownloader.Agent.NOU」「GenScript.CXP」などの検出名で検出している。

 VBA/TrojanDownloader.Agent.NNZの国別での検出割合は、英国が37.7%、香港が10.8%、日本が9.7%、台湾が8.3%など。VBA/TrojanDownloader.Agent.NOUは、コロンビアが24.1%、日本が17.6%、米国が10.5%、英国が7.8%、台湾が5.1%だった。

 なお、香港や台湾を標的にしたメールの内容は、日本で確認されたメールの文面をそのまま翻訳したような内容になっていた。

香港(左)や台湾(右)を狙ったばらまき型メール。青字は日本で確認された文面を表示したもの

 世界全体におけるEmotetの検出数は、2019年1月・2月に増加したが、6月中旬以降は減少に転じる。しかし、「これまでの傾向と同様、引き続き注意する必要がある」と石川氏は述べる。

 主な感染経路はメールだが、Emotetを配布するサーバーとして、国内のウェブサイトが改ざんされる事例も報告されている。管理者は脆弱性のあるプラグインの削除などを行い、攻撃者に悪用されないように管理する必要があると同氏は説明する。

「WinRAR」に含まれるライブラリの脆弱性狙った攻撃

 このほか、2019年上半期には「WinRAR」に含まれるライブラリの脆弱性を狙った攻撃が検出されている。

 WinRARなどの圧縮・解凍ソフトで利用されているACE形式書庫ファイルを扱うサードパーティー製ライブラリ「UNACEV2.DLL」にディレクトリトラバーサルの脆弱性(CVE-2018-20250)が存在し、同脆弱性を悪用したマルウェアが確認された。

 攻撃者によって細工された圧縮ファイルを展開した場合、任意のフォルダーに悪意のあるファイルが展開される恐れがある。「WinRAR」(バージョン5.61以前)をはじめとする、同ライブラリを利用する圧縮・解凍ソフトが同脆弱性の影響を受ける可能性がある。なお、WinRARではすでに修正版(バージョン5.70)を公開している。

 今回確認したバックドア「Win32/Agent.ZUR」は、この脆弱性を悪用した圧縮ファイルに格納されていた。細工された圧縮ファイルをWinRARなどで開くと、ドキュメントファイルとCドライブへの参照が表示される。圧縮ファイルを展開すると、ユーザーが指定したフォルダーに3つのMicrosoft Office文書が展開されるが、いずれも文章がモザイク処理で内容を読み取ることができなかったり、パスワードで保護されて開くことができなかった。

圧縮ファイルを展開して出てきた「Report file 01.docx」「Report file 02.docx」には何らかの文章が書かれているが、モザイク処理されており内容を読み取ることができない。また、「Report file 03.docx」はパスワードで保護されており、開くことができなかった

 しかし、これらのファイルの展開と同時にスタートアップフォルダーには自己解凍形式の圧縮ファイル「winword.exe」が展開された。これはPC起動時に自動で実行されるが、同ファイルが展開されたことはユーザーには通知されず、最終的にはバックドアモジュールがメモリ上にロードされる。

マルウェア感染の流れ

2019年上半期に最も多く検出されたランサムウェア「GandCrab」

 このほか、「GandCrab」というランサムウェアが2019年上半期に日本国内で最も多く検出された。

 GandCrabは、感染した端末上のファイルを暗号化し、復号するための身代金を要求するランサムウェア。RaaS(Ransomware as a Service)として提供れていたことから、2018年初頭に登場してから1カ月間で5万人の被害が報告されるなど大きな影響を与えていた。しかし、2019年5月末にGandCrabの作成者が提供サービスをやめることを発表した。

日本国内で検出されたランサムウェアの比率(2019年上半期)

 しかし、GandCrab以外のランサムウェアによる攻撃も確認されているため引き続き注意する必要がある。具体的には、2019年3月にはWinRARの脆弱性(CVE-2018-20250)を悪用した「JNEC.a」、2019年4月にはOracleウェブLogicの脆弱性(CVE-2019-2725)を悪用した「Sodinokibi」、ばらまき型メールを媒介してESET社製正規ツールを悪用した「Crysis」がある。

 ランサムウェアの対策として、石川氏は通常の対策に加えてバックアップを取ることが重要だとしている。万が一、ランサムウェアに感染した場合は、身代金を払うのではなく、「No More Ransom」で提供されている複合ツールを使用するよう促している。