ランサムウエア「BadRabbit」の大規模感染に関する緊急調査レポートを公開

お知らせ

2017年10月27日
更新:2017年11月2日

株式会社NTTデータ

株式会社NTTデータ(以下:NTTデータ)は、2017年10月24日より世界各地で大規模な感染が確認されているランサムウエア(身代金要求型ウイルス)「BadRabbit」について緊急調査を実施し、感染拡大の防止を目的に調査結果を公開します。

主な調査結果

被害状況

  • 2017年10月24日、ロシア、ウクライナ等の複数国でランサムウエア大規模感染が報告された。
  • その他、ブルガリア、トルコ、日本、ドイツ、米国等で被害を受けた可能性が認められる。

攻撃手法

  1. 1.初期感染は、水飲み場攻撃を契機としている。
  2. 2.感染拡大は、内部ネットワークに対して以下の3つを試みる。
  3. (a)共有フォルダのスキャン
  4. (b)予め保有するパスワードリストと、「Mimikatz」を使って取得した認証情報を用いて認証を試行。
    書き込みアクセスを行える共有フォルダを発見した場合、当該フォルダへ不正ファイルを設置し、WMI(Windows Management Instrumentation)等の正規の管理ツールを用いてファイルを実行する。
  5. (c)MS17-010未適用の端末に対し、SMBv1実装の脆弱性を悪用するツールを実行する。(11月2日更新)
  • 攻撃対象ユーザーが普段アクセスするWebサイトを改ざんし、改ざんサイトへアクセスしたユーザーをマルウエア等に感染させる攻撃

推奨される対策

  • 既知の悪性ドメイン、悪性IPアドレスをフィルタリングする。
  • ブラウザの設定でポップアップをブロックする。
  • 定期的にバックアップを取得する。
  • ウイルス対策ソフトの定義ファイルを更新する。
  • Windowsセキュリティパッチの最新化(特に、MS17-010)(11月2日更新)
  • Windowsセキュリティパッチの最新化が困難な場合は、SMBv1を無効化する。(11月2日更新)
  • 読み取り専用ファイル「C:¥windows¥infpub.dat」を作成する。万が一感染しても、ファイルが暗号化されることを防ぐ。(BadRabbitのキルスイッチになる)
  • 以下の名前のプロセスを「タスクスケジュール」に登録させないよう制約する。
    • viserion_
    • rhaegal
    • drogon
    • また、万が一感染が確認された場合は、初期対応として下記を迅速に行う。
  • 感染が確認されたコンピュータをネットワークから外す。

レポート概要目次

  1. 1.被害状況
  2. 2.攻撃情報
  3. 3.推奨される対策
  4. 4.本攻撃の全体像と攻撃手法
  5. 5.WannaCry、Petya亜種との比較
  6. 6.調査を経ての不明点
  7. 7.日本での報道状況

レポート掲載URL

調査レポートについては、以下URLから閲覧・ダウンロードが可能です。

  • リンク先のレポートPDFについては随時最新のバージョンに更新予定です。

本件に関するお問い合わせ先

株式会社NTTデータ
セキュリティ技術部
情報セキュリティ推進室
NTTDATA-CERT担当
横山、大山、溝上
E-mail:nttdata-cert@kits.nttdata.co.jp