is702
ニュース

WannaCry拡散に悪用された攻撃ツール「Eternalblue」の分析結果、警察庁が発表

2017/05/29

警察庁は5月25日、攻撃ツール「Eternalblue」を悪用した攻撃について、あらためて観測結果を発表し、注意を呼びかけました。警察庁が運用するインターネット定点観測システムへのアクセス情報等を分析した内容です。

攻撃ツール「Eternalblue」は、ハッカー集団「The Shadow Brokers」が4月14日に公開。5月中旬に世界的な被害を発生させたランサムウェア「WannaCry」の感染に悪用されたことで有名になりました。「Eternalblue」は、Windowsの脆弱性を標的としており、ネットワーク経由の遠隔攻撃で、不正プログラムをPCに感染させることが可能です。マイクロソフトは、3月の更新プログラム「MS17-010」でこの脆弱性に対応していましたが、更新を行っていないPCが標的となりました。

「The Shadow Brokers」は、バックドア「Doublepulsar」も公開していますが、「Eternalblue」を使った攻撃で、「Doublepulsar」や「WannaCry」をPCに感染させます。「Doublepulsar」は、SMBで使用される「445/TCP」ポートやリモートデスクトップで使用される「3389/TCP」ポートを、バックドアとして開き、さらなる攻撃活動を可能とします。「Eternalblue」と「Doublepulsar」を組み合わせた攻撃手順は、具体的な解説資料もインターネットで公開されています。

警察庁の定点観測システムにおいては4月19日以降、「445/TCP」に対する特定信号が観測されています。「3389/TCP」に対しても、同種の信号が4月23日から断続的に増加しています。これらの信号は、PCが「Doublepulsar」に感染済みかどうかを確認する目的だと思われます。また「Eternalblue」を悪用する攻撃活動、「WannaCry」に感染したPCによる感染活動でも、「445/TCP」に対するアクセスが発生しており、これも確認されています。

警察庁では、Windowsが稼働しているPCについて、インターネットへの直接接続を避けること、可能であれば445/TCPポートに対するアクセスを遮断すること、更新プログラムをただちに適用すること、不審なプロセス・ファイル・通信等が存在しないか確認すること等を呼びかけています。

なお警察庁では、IIS 6.0の脆弱性を標的とした攻撃活動、Apache Struts 2の脆弱性(S2-046)を有する機器の探索活動等についても注意を呼びかけています。



 「Eternalblue」と「Doublepulsar」による攻撃の概要(警察庁発表資料より、2ページ)<br />

「Eternalblue」と「Doublepulsar」による攻撃の概要(警察庁発表資料より、2ページ)