7種のNSAサイバー兵器を悪用した新種のマルウェア「EternalRocks」、目的は？：「WannaCry」だけではなかった（1/2 ページ）

世界規模に被害が拡大したランサムウェア「WannaCry」に続き、「EternalRocks」というマルウェアが新たに見つかった。これは米国家安全保障局（NSA）のサイバー兵器7種を利用しているが、その目的はまだ謎だ。

[Michael Heller，TechTarget]

　またしてもNSAのサイバー兵器を悪用した新種のマルウェアEternalRocksが見つかった。だが、できるだけ多くのシステムに感染を拡大する以外に何を目的としているのか、いまだ不明だ。

　ランサムウェアWannaCryは1週間もしないうちに30万台以上のシステムに広まり、アクセスの取得に「EternalBlue」、感染拡大に「DoublePulsar」という2種類のNSAサイバー兵器を悪用していた。今回新たに見つかったEternalRocksというマルウェアは、7種ものNSAサイバー兵器を利用している。

併せて読みたいお薦め記事

「WannaCry」とは何だったのか

• 「WannaCry」事件の“痛み”から考える、ランサムウェアへの予防策とは
• 「WannaCry」を巡りMicrosoftがNSAを批判、混迷深めるIT企業と政府の関係
• Windows XPにも「WannaCry」対策パッチ提供、Microsoftの英断は吉か凶か

マルウェア対策に有効な打ち手とは

• ランサムウェア被害で浮上した「データはテープにバックアップして隔離」の重要性
• 「脅威インテリジェンスサービス」とは何か？　基礎から学び直す

　EternalRocksを発見したのはクロアチア政府のコンピュータ緊急事態対応チーム（CERT）に所属するセキュリティ専門家ミロスラブ・シュタンパル氏で、Server Message Block（SMB）のハニーポットで感染を確認した。同氏が解析した結果、このマルウェアはNSAが開発した7つのSMBエクスプロイトを利用していることが分かった。アクセス取得用にEternalBlue、「EternalChampion」「EternalRomance」「EternalSynergy」、SMB偵察操作用に「SMBTouch」と「ArchiTouch」、感染拡大用にDoublePulsarの計7つだ。

　シュタンパル氏によると、EternalRocksの実行は複数段階に分かれている。まずEternalBlueでシステムに侵入し、次にTor経由でコマンド＆コントロールサーバ（C＆C）にアクセスし、それからコンポーネントをインストールする。

GitHubにおけるシュタンパル氏の解説（出典：GitHub）《クリックで拡大》

　シュタンパル氏はGitHubへの投稿で次のように述べている。「最初の実行の後、shadowbrokers.zipというエクスプロイトパックをドロップし、これをアンパックしてpayloads/、configs/、bins/というディレクトリを展開する。次に、インターネット上で開いているポート445番（SMB）のランダムスキャンを開始し、（bins/ディレクトリに）含まれているエクスプロイトを実行して、（payloads/ディレクトリ内の）ペイロードによって第1ステージマルウェアをプッシュする。また、第1ステージからTorプロセスを実行し、C＆Cからさらに命令を受け取る」

　このエクスプロイトパックには感染を広める目的で他のNSAサイバー兵器とDoublePulsarも含まれる、とシュタンパル氏は述べている。