新しく出現した Adylkuzz というマルウェアが、MS17-010 を利用して脆弱なマシンに拡散していると報告されています。MS17-010 は、WannaCry がネットワークに拡散する際に悪用するのと同じ脆弱性ですが、Adylkuzz と WannaCry の共通点はこれだけです。
シマンテックの侵入防止システム(IPS)をお使いのお客様は、MS17-010 の悪用からプロアクティブに保護されています。
暗号通貨のマイニング
Adylkuzz の主な目的は、ビットコインに似た暗号通貨 Monero のマイニングです。Adylkuzz は、侵入先のマシンに、cpuminer という既知の暗号通貨マイニングプログラム(マイナー)をインストールします。マイニング処理はバックグラウンドで実行されるため、感染したマシンのユーザーが cpuminer の侵入に気付くことは、まずありません。ただし、マイニング処理は CPU 消費量が大きいため、マイナーが実行されていると、マシンのパフォーマンスが影響を受ける可能性があります。
煩わしいことは確かですが、ランサムウェアの脅威がデータの消失や大々的な機能停止につながるのに比べれば、Adylkuzz に感染したマシンの被害はそれほど大きくありません。
拡散の方法
Adylkuzz がマシンに侵入するとき利用しているのが、MS17-010 を悪用するコード、別名「Eternal Blue」です。Adylkuzz を操る攻撃者は、インターネットを物色して、脆弱なマシンがあるとこのマルウェアをインストールします。WannaCry と違って、Adylkuzz に自身を拡散する機能はありません。自己複製は WannaCry の機能であり、だからこそ WannaCry は侵入した組織で急速に拡散したのです。
流行は限定的
プロアクティブに感染を防ぐ IPS の効果により、シマンテックで確認されている Adylkuzz 感染率はごく少数にとどまっています。シマンテックは、MS17-10 を悪用しようとする試みを 4,400 万件以上も遮断していますが、Adylkuzz に感染したマシンは 200 台未満です。
保護の詳細
ネットワークベースの保護 シマンテックは、以下の IPS 保護を実施して、MS17-010 の脆弱性悪用の試みを遮断します。
ウイルス対策
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。