ランサムウェアSatanでEternal Blueを使った新種を発見 WannaCry再来か?
Satanというランサムウェアはご存知でしょうか?
RaaS (Rasomware as a Service)とは、ランサムウェアを提供するサービスのことです。SaaSやIaaSのランサムウェアバージョンだと思ってください。ダークウェブ上で、展開されているRaaSはお金さえ払えば誰でもランサムウェアを買えてしまいます。
このRaaSで提供されるランサムウェアの一つがSatanであり、このSatanでEternal Blueを使う新種が見つかったようです。
WannaCryで振り返るEternal Blue
WannaCryのことを覚えているだろうか?
ホンダの狭山工場やマクドナルド等が感染して騒いでいたのを鮮明に覚えている方もいるのではないでしょうか。
でも、なぜあんなに騒がれていたのか覚えている方は少ないと思うためおさらいしたいと思います。
WannaCry以前にも、ファイルを暗号化して復号するために金銭を要求するランサムウェアはありました。しかし、WannaCry以前のランサムウェアは感染した端末のみしか被害に合いませんでした。もう分かったと思いますが、WannaCryは他の端末にも感染する初のランサムウェアだったため騒がれました。
前振りが長くなりましたが、WannaCryで使われた他の端末にも感染する攻撃方法(脆弱性)がEternal Blueです。
Eternal Blueを使ったSatan
Eternal Blueを使ったSatanは、2017年11月からあったようです。
特徴としては、Eternal Blueが使われたということぐらいで正直あまり最初に取り上げたブログを見る限り、目新しい特徴はないかと思います。UAC(ユーザーアカウント制御)が有効であれば、Satanが実行された際にポップアップが表示されて実行するか聞かれるため洗練されたものでもありません。
ここまで読ませておいてそれはないだろ?と思うかもしれませんが、まだ話は終わっていません。このSatanが見つかったのは2017年の11月です。今は、2018年4月下旬です。当然、今回取り上げたものよりも進化しており実行する際にポップアップを表示させるなど、ユーザーに実行中に気づかれるようなことはしないでしょう。
RaaSという誰でも使えるサービスで提供されているSatanがこの様な特徴を持ったということは、これからは一部の犯罪組織のみではなく、遊び半分の人も使えるようになるということです。WannaCryでの教訓を活かして早めの対応をするべきでしょう。
ランサムウェアへの対策
- UACを有効にすること
- Windowsの定期的なアップデートを行うこと
- 特に、Eternal Blueへの対策として出たMS17-010は行うこと
- アンチウィルスソフト使用し、定期的なアップデートを行うこと
- ACLへのアクセスを制御すること
- バックアップを取ること
- SMBv1を使わないこと(使用する場合は、適切な制御を行うこと)
これ以外にもありますが、長くなるため代表的なものをあげました。
Wannacryに感染しないような設定になっているか確認できる自診くんというものもあるので試してみると良いかもしれません。
※社内ネットワークから試すとネットワーク機器が攻撃と勘違いしてアラートをあげる可能性があるのでご注意ください。
参考
ランサムウェア「WannaCry」対策ガイド rev.1 | セキュリティ対策のラック