「WannaMine」攻撃とは何か? 防止策は?

ETERNALBLUE エクスプロイトと暗号通貨のマイニングを組み合わせたセキュリティ脅威のニュースが注目を集めています。

ETERNALBLUE は WannaCry ワームで使用されたことで悪名高いエクスプロイトです。この侵入方法と暗号通貨をマイニング (採掘) するペイロードが組み合わさっていることから、今回の脅威は WannaMine と呼ばれています。

WannaMine 攻撃は新しいものではありませんが、最近になってこの問題に関してアドバイスを求める問い合わせがソフォスのサポートチームに数多くの寄せられています。

そこで、サポートチームの要請を受けた NakedSecurity が、WannaMine を解説する Facebook Live ビデオを作成することにしました。それが以下のビデオです。

(本記事には、このビデオの内容を基にした Q & A も記載されているので、ぜひお読みください。)

(ビデオが再生されない、あるいはビデオが見つからないというエラーメッセージが表示される場合は、Facebook でご覧ください。)

注: ほとんどのブラウザでは Facebook アカウントをお持ちでなくてもビデオはご覧いただけます。アカウントをお持ちの方はログイン不要です。音声が聞こえない場合は、画面右下にあるスピーカーのアイコンをクリックしてミュートを解除してください。

Q & A (ビデオからの抜粋)

Q. WannaMine は WannaCry のようにディスクを暗号化するランサムウェアなのですか?

A. 「WannaMine」という名前は、このマルウェアファミリが WannaCry のネットワーク感染能力を利用して、ランサムウェアではなく暗号通貨をマイニング (mining) するマルウェアを拡散させることから付けられました。

Q. 暗号通貨をマイニングするマルウェアとは何ですか? また、ランサムウェアと同じくらい危険なものですか?

A. 暗号通貨マイニングとは、攻撃者が Bitcoin、Monero、Ethereum などの暗号通貨の生成に必要な計算を他人のコンピュータに行わせることです。攻撃者は、生成された暗号通貨を自分のものにします。

暗号通貨マイニングで金を稼ぐには、多数のコンピュータで大量の処理能力を使用するための大量の電力が必要になります。

攻撃者は、暗号通貨をマイニングするマルウェアを他人のネットワークに違法インストールすることによって、そのユーザーのリソースを盗みます。

Q. 暗号通貨マイニングによってコンピュータが被害を受けることはありますか?

A. 携帯電話が何時間も連続してマイニング計算を強制されると、過熱が原因でバッテリーが膨張することは知られています。

ただし、WannaMine は携帯電話では動作しません。攻撃対象は Windows コンピュータです。

しかし、恒久的な損害はなかったとしても、ノート PC のバッテリーが通常よりもずっと早く消耗したり、冷却ファンがフル回転したり、ノート PC が普段よりも熱を持ったりする可能性があります。

また、WannaMine のようなマルウェアがネットワークに侵入した場合には、ランサムウェアを始めとする他の深刻なマルウェアの危険にもさらされます。

ランサムウェアに感染したでコンピュータを調査すると、マイニングマルウェアの痕跡が残っていることがよくあります。したがって、WannaMine が検出された場合は無視してはいけません。

Q. 暗号通貨を所有していないのであれば、暗号通貨関連の攻撃とは無関係ですか? それとも影響を受けるのでしょうか?

A. はい、影響を受けます。

WannaMine マルウェア攻撃は、暗号通貨を探し出して盗もうとするものではありません。

ユーザーのコンピュータを無料で暗号通貨マイニングに利用することが目的であり、ユーザーが暗号通貨に関心があるかどうかは関係ありません。

Q. セキュリティソフトウェアによって WannaMine 攻撃を阻止することはできますか?

A. はい、できます。

エクスプロイト防止ソフトウェア (Sophos Intercept X など) は、ETERNALBLUE 攻撃をブロックするので、最初の段階でこのようなマルウェアがネットワークに侵入するのを防ぐことができます。

アンチウイルスおよびホスト侵入防止ソフトウェア (Sophos Endpoint Protection など) は、エクスプロイトが攻撃の開始時にトリガーされた場合であっても、WannaMine 攻撃を進行させる悪意のあるプロセスを阻止することができます。

ネットワークセキュリティソフトウェア (Sophos XG Firewall など) は、WannaMine のようなマルウェアを機能させるうえで必要なネットワークアクティビティをブロックすることができます。

Q. 他にできる対策はありますか?

A. パッチを速やかに適用してください。また、適切なパスワードを選択してください。

WannaMine マルウェアには通常、WannaCry で悪用されていたのと同じ ETERNALBLUE エクスプロイトが含まれています。

このエクスプロイトは、昨年 Microsoft のセキュリティアップデート MS17-010 で修正されています。したがって、ネットワークにパッチが正しく適用されていれば、そもそも攻撃を受けることはありません。

ETERNALBLUE のセキュリティホールがすでに修正されている場合、WannaMine はネットワーク上の脆弱なパスワードを発見するパスワードクラッキングツールを使用して拡散しようとします。

脆弱なパスワードを使用しているユーザーが 1 人いるだけで、ネットワーク全体が危険にさらされます。