脆弱性「BlueKeep」を悪用した最初の攻撃、緊急警告を発する事態に

この記事をシェア

悪名高い脆弱性「BlueKeep」が暗号資産(仮想通貨)マイニング攻撃で悪用されたことが判明した。さらに破壊的な攻撃が待ち受けている可能性もあり予断を許さない。今回の発見について、一連の経緯を解説していく。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

脆弱性「BlueKeep」を悪用した最初の攻撃、緊急警告を発する事態に

脆弱性「BlueKeep」が2019年5月に発見された。それ以来、「ワナクリプター(WannaCryptor)」型の攻撃が今後も発生するのではないかと気を揉むのはサイバーセキュリティの専門家だけではない。2019年11月初旬、マイクロソフト社はセキュリティ研究者であるケビン・ボーモント(Kevin Beaumont)とマーカス・ハチンズ(Marcus Hutchins)とともに、リモートコード実行(RCE)における重大な脆弱性を悪用した最初の攻撃について発表した。この攻撃では、暗号資産(仮想通貨)マイニングソフトウェアをインストールするため、パッチを適用していない脆弱なWindowsシステムが狙われた。しかし、2017年5月のワナクリプター(通称、「ワナクライ(WannaCry)」) による攻撃ほどの大きな被害にはならなかった。

「CVE-2019-0708」としてトラッキングされた「BlueKeep」は、リモートデスクトップに関するWindowsコンポーネントで検出された。攻撃される可能性があるのは、パッチを適用していないWindows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2を実行するマシンとなる。残念なことに、マイクロソフト社は5月14日にパッチをリリースしたものの、未だにパッチを適用していないシステムは数多く残っている。

一番初めにマイニング攻撃が確認されたのは、2019年10月23日にさかのぼる。マイクロソフト社の研究員が詳しく調査したところ、攻撃はすでに9月にも起こっていたことが明らかになった。10月の攻撃と同じC&C(コマンド&コントロール)サーバーと通信した主たる脆弱性が悪用されたのである。この攻撃ではフランス、ロシア、イタリア、スペイン、ウクライナ、ドイツ、英国といった多くの国で使用されているマシンがターゲットになった。

攻撃者は、9月にMetasploitチームがリリースしたBlueKeepエクスプロイトを悪用していた。彼らはまず始めに、インターネット経由で脆弱性が残るRDP(リモートデスクトッププロトコル)接続をしているマシンがないか捜索を行った。次に、エクスプロイトを仕掛け、暗号資産(仮想通貨)マイニングソフトウェアのインストールを行う。

マイクロソフト社のセキュリティ情報でRDP関連のクラッシュが数件報告されているように、エクスプロイトは不安定な特性がある。セキュリティ研究者のケビン・ボーモントはこのクラッシュを根拠に、ハニーポットのクラッシュを報告した後、10月に攻撃を検出するに至った。

脆弱性「BlueKeep」に関するメディアの報道を見る限り、今回の攻撃はたいしたことないかもしれない。しかし、最悪の攻撃が待ち受けている可能性も否定できない。脆弱性は「ワーム化」することが可能だ。つまり、ワナクリプターによる攻撃の時と同様に、今後エクスプロイトが悪用され、マルウェアがネットワーク内外で拡散されることも考えられるのだ。

事の重要性を過少評価してはならないだろう。5月以降、マイクロソフト社では注意喚起のアラートを3回発信し、ユーザーに対して脆弱なマシンへのパッチ適用とアップデートを行うよう促している。年初には、米国国家安全保障局(NSA)とサイバーセキュリティ・インフラストラクチャセキュリティ局(CISA)が異例の警告を行った。最近では、オーストラリア通信電子局のオーストラリアサイバーセキュリティセンター(ACSC)も繰り返し警告を発し、警戒を促している。

この記事をシェア

ランサムウェアのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!