2017年5月、ランサムウェア WannaCry の感染活動が世界中で観測されました。WannaCry は SMB の脆弱性を利用して感染を拡げるワーム機能を持っており、インターネット経由で爆発的に感染が拡大する要因となりましたが、幸いなことにキルスイッチ機能を持っていたため、比較的早い段階で収束しました。しかし 5月末からこのキルスイッチ機能を無効にした亜種の活動が観測されはじめ、6月以降も活発な活動が継続しています。本記事では IIJ のハニーポットで観測されている最近の WannaCry 亜種の活動状況を紹介します。
前回の記事 では、IIJ のマルウェア活動観測プロジェクト MITF のハニーポットに到達する通信の特徴から、Mirai および Hajime ファミリーの活動について紹介しました。本記事ではこれまでに知られている通信パターンに合致しない Mirai 亜種の最近の活動状況について解説します。
前回の記事では、Hajime ボットの活動状況について、その動作の特徴や宛先ポートによる挙動の違いについて解説しました。本記事では Hajime と Mirai およびその亜種について、IIJ のマルウェア活動観測プロジェクト MITF のハニーポットにおいて観測した通信の推移について示します。
Hajime は IP Camera や DVR などのいわゆる IoT 機器に主に感染するボットで、2016年10月に Rapidity Networks によって最初に報告されました。同時期に Mirai ボットによる大規模な DDoS 攻撃が観測されたため、その影に隠れていましたが、2017年に入ってから感染活動が活発に観測されるようになりました。また 4月にはセキュリティベンダー各社から詳しい解説レポートが公開されています。本記事では、IIJ のマルウェア活動観測プロジェクト MITF のハニーポットで観測された Hajime の最近の活動状況について報告します。
2017年4月7日15時現在、日本国内の Web サイトを経由した Rig Exploit Kit によるドライブバイダウンロード攻撃の検知数が増加しています。