新手のランサムウエア「Bad Rabbit」、JPCERT/CCやセキュリティベンダーが警告

　JPCERTコーディネーションセンター（JPCERT/CC）は2017年10月25日、新手のランサムウエア「Bad Rabbit」について注意喚起を告知した。

　告知文によると、Bad Rabbitの感染で、ロシアやウクライナなどの地域を中心に公共交通機関やメディア、政府機関に影響が出ていると報道されているもようだ。ESETの研究者は、このランサムウエアは2017年6月に注目を集めた「Petya」の亜種であり、Adobe Flashのインストーラーに偽装し「Mimikatz」などの攻撃ツールをインストールして感染を広げる特徴があるという。またJPCERT/CCは、感染するとほかの端末に拡散させようとする点も特徴だと説明している。

　JPCERT/CCは、ランサムウエアに感染させるための「ドロッパー」がダウンロードされている国に日本が含まれているという情報もあるとして、「国内での感染も既に広がり始めていると考えられるため、十分注意して感染を防ぐことを推奨する」と注意を呼びかけている。

JPCERTコーディネーションセンター（JPCERT/CC）が掲載した「Bad Rabbit」の注意喚起

（出所：JPCERTコーディネーションセンター）

[画像のクリックで拡大表示]

　同日、トレンドマイクロはブログに解説を掲載した。同社は、Bad Rabbitが水飲み場型攻撃によってダウンロードされる偽のFlashインストーラーを介して拡散することを確認したという。偽のFlashインストーラーへの誘導を行う改ざんサイトはデンマーク、アイルランド、トルコ、ロシアで確認しており、日本のサイトについては確認していない。

　偽インストーラーは実行するとPC内にBad Rabbitの本体を作成（ドロップ）する。そして1回目の再起動後にPC内ファイルを暗号化し、身代金要求文書を表示する。同社調べで、暗号化対象のファイルは113種類ある。2回目の再起動後には、PCのディスクのMBR（マスター・ブート・レコード）を変更しWindowsが起動しなくなるようにして、身代金要求文書を表示するという。またBad Rabbitは、ネットワーク内に感染時のファイル名を用いて自身のコピーを作成し、「Windows Management Instrumentation （WMI）」と「Service Control Manager Remote Protocol」を利用してコピーを実行。ネットワーク内の他のPCに拡散すると説明している。

Bad Rabbitが暗号化する対象のファイルは113種類（トレンドマイクロ調べ）

（出所：トレンドマイクロ）

[画像のクリックで拡大表示]

　トレンドマイクロでは、Petyaは脆弱性を利用しているのに対し、Bad Rabbitは脆弱性を利用していないためPetyaの亜種ではないという見解を持っている^＊。同社のクラウド型セキュリティ脅威データベースである「Smart Protection Network（SPN）」の統計によれば、10月25日17時30分時点で日本国内でのBad Rabbitの検出は確認されていない。一方ロシア110台、カザフスタン3台、ウクライナ1台の計114台で、Bad Rabbitとみられる不正活動をブロックしたという。

　対策としてトレンドマイクロでは、不正なWebサイトへのアクセスをブロックすることやネットワーク内の不正通信を検知すること、バックアップを取ることなどを挙げている。