プロダクトマネージャーあれこれ

PJMではなくPDMのPMです!

身代金要求するランサムウェアとは?Bad Rabbitを例に解説

前々回、前回に続き、セキュリティに関する記事となります。

少し前になりますが、2017年10月24日前後に日本でも確認された「Bad Rabbit(バッドラビッド)」を取り上げ、ランサムウェアの感染経路ついて説明します。

ランサムとは身代金という意味で、ランサムウェアに感染すると、PC等が利用できなくなり、「ここに振り込むとPCを復活させてあげるよ」

というような形で金銭要求してきます。

単なる金銭だけではなく、ビットコインやアダルト画像など様々な要求内容があるのも特徴です。

Bad Rabbitが検出された国

ブルガリア、エストニア、ドイツ、ハンガリー、スロバキア、ウクライナ、ロシアなどの国 そして日本も発見され、被害も出ています

日本ではアイカ工業がサイト停止

アイカ工業ではWebサイトが不正に改ざんされているのを確認し、公式HPを停止させる事態となりました。

こういった問題は、徹底的に根を絶った上で公式HPを再開する必要があり、再開させるまでに長期戦になってしまったというのが当時の状況でした。

公式HPは企業情報だけではなく、採用情報等もあることから実害が出てしまったようです。

また、カタログをダウンロードさせ発注する機能も該当HPにあったため、緊急対応として、FAXでの注文に切り替えるなど業務変更も強いられたということです。

それだけではなく、やはりこういった被害があると、プレスリリースやセキュリティ企業への調査費用、復旧費用、対策費用などの金銭面だけではなく、ブランドにも大きく影響がでます。

Bad Rabbitの攻撃手法

いわゆる水飲み場(watering hole)攻撃という手法を使っています。

水飲み場攻撃は 企業や組織を狙った攻撃手法の1つです。

攻撃者は 攻撃先のWebサイトを選定します。

そのWebサイトに脆弱性利用のマルウェア(エクスプロイト)を組み込むことで改ざんを行い、最終的にマルウェアの感染被害が発生することになります。

Bad Rabbitの感染経路

+改ざんされた Web サイトには「hxxp://1dnscontrol.com/flash_install」に名前解決される URL を含むスクリプトが埋め込まれている。 +訪問者がこのサイトを訪れ、このスクリプトが作動。 +誘導された結果、偽の Flash インストーラ “install_flash_player.exe”をダウンロード。 +このFlashインストーラによって、正規プログラム「rundll32.exe」を利用してファイル “infpub.dat” を作成。この “infpub.dat” がBad Rabbit本体となります。 +”infpub.dat” は、暗号化および復号を行うファイル “dispci.exe” を作成。 +その他にも.jobファイルが複数作成さらることが確認されています。 +”rhaegal.job” が “dispci.exe” と “drogon.job” を実行。 +“drogon.job” は対象 PC をシャットダウンさせ、PC 内のファイルの暗号化を実行し、身代金要求ページを表示させます。 +利用者は怖くてPC再起動させる。※この身代金要求画面が表示されたら、怖いですよね。 +“viserion_23.job” は、2 度目の再起動時に実行され、スクリーンをロックし、身代金を払わないとロック解除できないという内容。 +”infpub.dat”がWindows Management Instrumentation(WMI)にて、ネットワークの外へ。 +ネットワーク経由で、他の人も感染

対応策

-ドライブCのWindowsフォルダ内に怪しいファイルがないか確認 -ファイル「c:\windows\infpub.dat」と「c:\Windows\cscc.dat」は開かない -ネットワーク内でランサムウェアが拡散するのを防ぐため、可能であればWindows Management Instrumentation(WMI)を無効にする -データのバックアップを取る -身代金は支払わない

とにかく大事なのは、身代金を支払わないということです。

ちなみに、この記事は、カスペルスキー社とトレンドマイクロ社のブログを参考にしています。 参考: https://blog.kaspersky.co.jp/bad-rabbit-ransomware/18518/ 参考: http://blog.trendmicro.co.jp/archives/tag/bad-rabbit