singtel logo
法人のお客さま
製品・サービス
導入事例
ブログ
企業情報
お知らせ
お問い合わせ

10個の脆弱性を活用し、ワームのように広がる新たなランサムウェア「ラッキー」

約2年前に登場したランサムウェアに新たなバージョンが発見され注目されています。今回は、新たに発見されたランサムウェア「ラッキー」について見ていきます。

FacebookTwitterLinkedIn
Ransomware

2017年に発見されたランサムウェア「サタン」の亜種…様々な脆弱性をエクスプロイト可能

このランサムウェアは、WindowsとLinuxサーバプラットフォームで発見された10種類の脆弱性を通じて拡散する可能性があります。このランサムウェアの名前は「ラッキー(Lucky)」で、サタン(Satan)ランサムウェアの亜種です。サタンランサムウェアは2017年1月頃から「サービス型マルウェア(Ransomware as a Service、RaaS)」として提供され始め、サイバーセキュリティ業界に大きな衝撃を与えました。ラッキーはランサムウェアでありながらワームと似た行動パターンを見せており、別途命令が無くても拡散することが可能です。

このラッキーを最初に発見したのは中国のサイバーセキュリティ会社で、金融系クライアントの一部で問題が発生し原因を調査していた際に発見されました。同社によると、ラッキーは繁殖力が高いマルウェアで全世界に拡散する危険性があるそうです。Windows SMB、JBoss、WebLogic、Tomcat、Apache Struts 2、Spring Data Commonsなどで以前からある脆弱性をまとめてエクスプロイトが出来るという点も、このラッキーが持つ危険性に挙げられます。

同社がラッキーを分析した結果、ラッキーが利用する脆弱性は以下の10種類であることが判明しました。
(1)JBoss デフォルト設定の脆弱性(CVE-2010-0738)
(2)Tomcat 任意のコードを実行される脆弱性(CVE-2017-12615)
(3)WebLogic 任意のコードを実行される脆弱性(CVE-2018-2894)
(4)WebLogic WLSの脆弱性(CVE-2017-10271)
(5)Windows SMB リモートでコードが実行される脆弱性(MS17-010)
(6)Spring Data Commons リモートで任意のコードが実行される脆弱性(CVE-2018-1273)
(7)Apache Struts 2 Apache Struts 2の任意のコードが実行される脆弱性(S2-045)
(8)Apache Struts 2 Apache Struts 2の任意のコードが実行される脆弱性(S2-057)
(9)Tomcat ウェブ管理者コンソールブルートフォースの脆弱性
(10)JBoss 非直列化の脆弱性

ラッキーが利用する脆弱性の中には、Apache Struts 2の任意のコードが実行される脆弱性(S2-045、S2-057)も含まれています。Apache Struts 2の脆弱性については独立行政法人情報処理推進機構(IPA)でも注意喚起しています。

"「Apache Struts(※1)」はウェブアプリケーションを開発するためのソフトウェアフレームワークで、Apache Software Foundation(以降、ASF)から提供されています。日本国内ではウェブサイト構築に大変多く利用されており、その結果、「Apache Struts」で構築されたウェブサイトは相当数存在すると考えられます。 そのため、ウェブサイトに脆弱性が存在した場合、それを放置すると、情報漏えい等の被害を受ける可能性もあります。こうした事態を避けるため、ASFより「Apache Struts」の修正パッチが公開された際には、速やかに修正パッチを適用する必要があります。 参考:Apache Struts2 の脆弱性対策情報一覧 独立行政法人情報処理推進機構"

https://www.ipa.go.jp/security/announce/struts2_list.html

 

エクスプロイトが可能な脆弱性が多く、感染力が高い非常に危険なランサムウェアです。また脆弱性の数が多いことだけが問題ではなく、この脆弱性を全部エクスプロイトするのが簡単だという点が本当の問題と言えます。その上、既にエクスプロイトする為のツールや方法が公開されているので、サイバー攻撃者の立場としては特に新たな研究や試行錯誤を行う必要がありません。一部の脆弱性は数か月前に発見されたばかりのものもあり、まだ修正パッチを適用していない可能性が高いため、感染の成功率も高くなります。

2016年~2017年に比べると、最近はランサムウェアに特に目立った動きはあまり見られません。強いて言うならWannaCry、GandCrab辺りに活動が見られる程度です。しかし、最近発見されたサタンランサムウェアの亜種であるラッキーの存在は、サイバー攻撃者達がランサムウェアを忘れた訳ではないことを証明しています。

Sunlight
Sunlight

サーバまで狙うランサムウェア

自らコピーを作成するタイプのマルウェアと同様に、ラッキーもシステム内のファイルを暗号化した後、すぐに拡張を試みます。特定IPアドレスとポートを検索し、探し出したシステムに脆弱性の有無をスキャンした後、悪性ペイロードを転送します。ランサムウェアがどれだけ進化しているかを表しているのがラッキーです。ランサムウェアも進化しており、今やランサムウェアは特定OS、特定の脆弱性を狙う代わりにサーバを攻撃し始める様子が伺えます。

OSの脆弱性を狙うランサムウェアは、既に旧式のものとなりました。サーバのアプリケーションとサービスを狙うのが最新のトレンドです。特にLinux環境を狙うランサムウェアでこのような現象が目立ちます。トレンドが変化している理由として、サーバ側アプリケーションにパッチを適用することが、クライアント側アプリケーションにパッチを適用することよりも遥かに難しい点が挙げられます。パッチが適用されたものよりも、寧ろパッチが適用されないまま放置された脆弱性が多い可能性もある為です。

ラッキーへの対策としては、怪しいポートスキャニングを探知し、脆弱性がエクスプロイトされるのを防ぐ必要があります。また、特殊なIPアドレスとドメインに対するアクセス要請を常に確認しておくのも重要です。そして、上記にある脆弱性に対する修正パッチを適用しておく事は基本中の基本です。このようなランサムウェアから企業の重要な資産を守るためには、確かな情報収集とセキュリティ専門家のサポートが肝要と言えます。自社内でのセキュリティ対策に課題をお持ちの場合は、当社までお気軽にご相談ください。

お問い合わせはこちら>>

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
続きはこちら
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
続きはこちら
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。
続きはこちら
さらに表示する
© Singtel (CRN: 199201624D) All Rights Reserved.