Opinion Brawte nfaq 0 Comments

スクリプトキディがNSAのハッキングツールを流出させ、数千台のWindowsマシンを乗っ取る

Table of Contents

スクリプトキディがNSAのハッキングツールを流出させ、数千台のWindowsマシンを乗っ取る

先週金曜日に Shadow Brokers によって漏洩された NSA の Equation Group のハッキングツールは、現在、世界中で何千台もの Windows マシンを感染させるために使用されていると伝えられています。

セキュリティ企業Phobos Groupの創業者、ダン・テントラー氏は木曜日、The Register紙に対し、インターネット上でDOUBLEPULSARがインストールされている兆候を示すマシンが増加していると語った。これらの乗っ取られたマシンは、マルウェアの拡散、ネットユーザーへのスパム送信、他の被害者へのさらなる攻撃などに利用される可能性がある。

DOUBLEPULSARは、感染したシステムに悪意のあるコードを挿入して実行するために利用されるバックドアで、Windows XPからServer 2008 R2のSMBファイル共有サービスを攻撃するETERNALBLUEエクスプロイトを利用してインストールされます。つまり、コンピュータを侵害するには、脆弱なバージョンのWindowsを実行し、SMBサービスを攻撃者に公開する必要があります。DOUBLEPULSARとETERNALBLUEはどちらもEquation Groupから流出したツールであり、スクリプトキディや熟練した犯罪者がダウンロードして脆弱なシステムに悪用できる状態になっています。

3 月に、Microsoft は ETERNALBLUE によって悪用された SMB サーバーの脆弱性 (MS17-010) を修正しましたが、一部の人々がこの重要な更新プログラムの適用を遅らせたり、適用できなかったり、あるいは単に気にかけなかったりしていることは明らかです。

この修正プログラムは、Windows Vista SP2、Windows 7、Windows 8.1、Windows RT 8.1、Windows 10、Windows Server 2008 SP2、Windows Server 2008 R2 SP1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、およびServer Coreで利用可能です。XPやServer 2003など、脆弱性のある古いシステムをご利用の場合は、残念ながら適用できません。

テントラー氏によると、木曜日にShodan.ioを用いて公共インターネットを予備スキャンしたところ、15,196件の感染が確認され、そのうち5分の4が米国のIPアドレス範囲からのものだったという。この数字は、追加スキャンのたびに増加している。DOUBLEPULSARに感染したシステムは、ポート445への特殊なpingへの応答によって識別できる。

ダブルパルサー

世界が燃え尽きるのを見たいだけの人もいる...ダンの統計によるとDOUBLEPULSAR感染者数

「今起きていることを丁寧に表現すれば『血みどろの大惨事』です。失礼な言い方をすれば、『ゴミ箱の火災』『ピエロの靴』『クソショー』です」とテントラー氏は述べた。「Windowsマシンにパッチを当てすぎている人たちにとって、これが目覚めのきっかけになればいいと思っています」

問題はさらに深刻化する可能性があります。情報セキュリティ研究者のロバート・グラハム氏による大規模なスキャンでは、約41,000台の感染ホストが確認され、今後さらにスキャンが実施される予定であるため、感染ホスト数はさらに増加すると予想されます。

DOUBLEPULSAR の被害を受けた組織に修復プランを提供するビジネスを営むテントラー氏は、イースターの週末にシャドウブローカーの攻撃手段がウェブに現れたとき、世界中のスクリプトキディがサイバー兵器を手に取り、出かけて行き、見つけたものすべてに感染させたと考えている。

感染したマシンの分析によると、多くのマシンはしばらくの間、そのままの状態が続くと思われます。もし現時点でMS17-010を適用していないのであれば、おそらく今後しばらくは、あるいは永遠に適用されないでしょう。DOUBLEPULSARは国家レベルのバックドアであり、非常にステルス性が高く、ハッキングされたマシンで発見される可能性は、悪意のあるユーザーが不注意に操作しない限り、まずないでしょう。

AmazonのAWSとMicrosoftのAzureは、顧客の仮想マシンを大量にホストするシステムとして、予想通り、感染件数上位100ドメインにランクインしました。さらに、インドのリコー、様々な大学、Comcast接続のマシンといった大手企業のシステムも含まれています。

通常、企業における感染件数は1桁台ですが、テントラー氏が指摘するように、攻撃者は企業ネットワークに1つの足掛かりさえあれば、全体を乗っ取り始めることができます。今後1週間でより包括的なスキャンが実施され、DOUBLEPULSARの拡散状況がさらに明らかになるでしょう。それまでの間、パッチの適用を急いでください。®

Opinion

Smart Recommendations

Discover More