ESET/マルウェア情報局
脆弱性「BlueKeep」を突いた最初の仮想通貨マイニング攻撃
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「脆弱性「BlueKeep」を悪用した最初の攻撃、緊急警告を発する事態に」を再編集したものです。
脆弱性「BlueKeep」が半年前に発見された。それ以来、「ワナクリプター(WannaCryptor)」型の攻撃が今後も発生するのではないかと気を揉むのはサイバーセキュリティの専門家だけではない。11月初旬、マイクロソフト社はセキュリティ研究者であるケビン・ボーモント(Kevin Beaumont)とマーカス・ハチンズ(Marcus Hutchins)とともに、リモートコード実行(RCE)における重大な脆弱性を悪用した最初の攻撃について発表した。この攻撃では、暗号資産(仮想通貨)マイニングソフトウェアをインストールするため、パッチを適用していない脆弱なWindowsシステムが狙われた。しかし、2017年5月のワナクリプター(通称、「ワナクライ(WannaCry)」)による攻撃ほどの大きな被害にはならなかった。
「CVE-2019-0708」としてトラッキングされた「BlueKeep」は、リモートデスクトップに関するWindowsコンポーネントで検出された。攻撃される可能性があるのは、パッチを適用していないWindows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2を実行するマシンとなる。残念なことに、マイクロソフト社は5月14日にパッチをリリースしたものの、未だにパッチを適用していないシステムは数多く残っている。
一番初めにマイニング攻撃が確認されたのは、2019年10月23日にさかのぼる。マイクロソフト社の研究員が詳しく調査したところ、攻撃はすでに9月にも起こっていたことが明らかになった。10月の攻撃と同じC&C(コマンド&コントロール)サーバーと通信した主たる脆弱性が悪用されたのである。この攻撃ではフランス、ロシア、イタリア、スペイン、ウクライナ、ドイツ、英国といった多くの国で使用されているマシンがターゲットになった。
攻撃者は、9月にMetasploitチームがリリースしたBlueKeepエクスプロイトを悪用していた。彼らはまず始めに、インターネット経由で脆弱性が残るRDP(リモートデスクトッププロトコル)接続をしているマシンがないか捜索を行なった。次に、エクスプロイトを仕掛け、暗号資産(仮想通貨)マイニングソフトウェアのインストールを行なう。
マイクロソフト社のセキュリティ情報でRDP関連のクラッシュが数件報告されているように、エクスプロイトは不安定な特性がある。セキュリティ研究者のケビン・ボーモントはこのクラッシュを根拠に、ハニーポットのクラッシュを報告した後、10月に攻撃を検出するに至った。
脆弱性「BlueKeep」に関するメディアの報道を見る限り、今回の攻撃はたいしたことないかもしれない。しかし、最悪の攻撃が待ち受けている可能性も否定できない。脆弱性は「ワーム化」することが可能だ。つまり、ワナクリプターによる攻撃の時と同様に、今後エクスプロイトが悪用され、マルウェアがネットワーク内外で拡散されることも考えられるのだ。
事の重要性を過少評価してはならないだろう。5月以降、マイクロソフト社では注意喚起のアラートを3回発信し、ユーザーに対して脆弱なマシンへのパッチ適用とアップデートを行なうよう促している。年初には、米国国家安全保障局(NSA)とサイバーセキュリティ・インフラストラクチャセキュリティ局(CISA)が異例の警告を行なった。最近では、オーストラリア通信電子局のオーストラリアサイバーセキュリティセンター(ACSC)も繰り返し警告を発し、警戒を促している。
参考:特集
ワーム型ランサムウェア「ワナクリプター」が世界各国の企業に被害をもたらす
https://eset-info.canon-its.jp/malware_info/special/detail/170524.html
[引用・出典元]
First BlueKeep attacks prompt fresh warnings by Amer Owaida 11 Nov 2019 - 05:16PM
https://www.welivesecurity.Com/2019/11/11/First-Bluekeep-attacks-fresh-warnings/