[注意] 国内で拡散しているSMB脆弱性(MS17-010)を利用した攻撃

2017年5月12日、スペイン、イギリス、ロシア等をはじめとして、全世界を「ランサムウェアの恐怖」に陥れた「WannaCryptor」(別名、WannaCry)事件が発生してからおよそ2年が経った 。当時、全世界の150ヵ国あまり、少なくとも30万台以上のコンピュータシステムが感染したことで知られており、国内では21ヵ所の機関および企業が被害を受けたとして報告がなされた。被害を受けたシステムはすべてSMB(ポート番号:445)サービスを使用しており、2017年3月に発表されたSMBの脆弱性(MS17-010)セキュリティ更新プログラムを適用していなかった。2年という歳月が流れ、「WannaCryptor」というランサムウェアは人々の頭の中から忘れられているが、当時使用されたSMBの脆弱性を利用した攻撃は「CoinMiner」という暗号貨幣採掘型マルウェアにおいて頻繁に使用されており、国内ユーザーの注意が要求されている。

AhnLab では、このMS17-010の脆弱性対応により「lsass.exe」システムプロセスによる不正なファイルのダウンロードの試みを行為ベースで検出しており、以下の[図1]は2019年1月の行為検出レポートの数を示している。

[図1] MS17-010脆弱性行為検出レポート (2019年1月)

平常時とは異なり、1月10日にレポート件数が6,044件に急増していることがわかり、実際に当該期間に国内のPOS機器メーカーで被害が発生しており、脆弱性に対するパッチが適用されていないシステムであると確認された。

以下の[図2]は、2019年2月の行為検出レポートの数を示している。1月と比較すると減少傾向にあるが、絶えず攻撃が続いていることがわかり、2月21日の312件が、最も高いレポート数を示している。当該期間にも、国内POS機器メーカーへの攻撃が確認された。

[図2] MS17-010脆弱性行為検出レポート (2019年2月)

以下の[図3]は、2019年3月の行為検出レポートの数を示している。今年になって最も多数の感染が確認され、3月12日に12,667件の検出数を示している。当該期間にはPOS機器メーカーではなく、国内の多数の企業をターゲットに攻撃が行われたことが確認され、MS17-010の脆弱性に対するセキュリティアップデートが適用されていないシステムがいまだに多いことがわかる。

[図3] MS17-010脆弱性行為検出レポート (2019年3月)

アンラボでは、2019年に国内で発見されているSMBの脆弱性(MS17-010)を利用した攻撃に使用された手法が、2017年のWannaCryランサムウェアで使用されたEternalblueではなく、EternalSynergyという、別のNSA(U.S.National Security Agency)エクスプロイト攻撃の手法が使用されていることを確認した。 

V3法人向けの製品では、変種のSMB脆弱性を利用した攻撃に対し、IPS検出ルールを配布しており、攻撃者と被害者の両方で脆弱性攻撃パケットが事前にブロックされていることがわかる。

2008年にもSMBの脆弱性(MS08-067)を利用して伝播機能を有するConfickerという名前のワーム(Worm)が国内に多数の被害を及ぼしており、数年にわたり絶えず攻撃が続いているという点を覚えておかなければならない。それだけ、国内にはSMBサービスを利用するシステムが多く、セキュリティのアップデートに脆弱なシステムを運用している所が多い状況なのである。被害を予防するためには、マイクロソフト(Microsoft) Windows OSのEternalBlue SMB(Sever Message Block、MS17-010の脆弱性)に関連する以下のセキュリティパッチを適用する作業が必要である。

[SMB脆弱性修正パッチ]

– https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010

V3 製品では、関連するファイルを以下の通り診断している。

– Win-Trojan/Trickster.Exp (V3: 2019.03.20.06)

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments