Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

コラム : トロイの木馬やWannaCryの攻撃が成功してしまった理由

2017年8月21日

株式会社Doctor Web Pacific


警告! M.E.Doc会計ソフトウェアが更新されると、暗号化ランサムウェアが侵入し、データを暗号化します。

一見、サイトが侵害されマルウェアをホストしているか、中間者攻撃が行われている、もしくは憤慨している従業員が同僚に復讐をしたなど、状況は明らかですが、現実はそれほど単純ではありません。では何が起こっているのかを見てみましょう。

何百ものシステムが侵害されましたが、その96%はウクライナの企業に属しています。

マルウェアの記述は、プログラムが特定の国に存在するマシンでは動作しないことがよくあります。そして、多くの人々は、関係するマルウェア作成者が高潔なハッカーであるために起こると想定します。しかし、それは真実ではありません。

  1. マルウェアは、犯罪者が違法な資金を現金に変換するためによく使用されます。彼らはどこで、どのように、このドロッパーネットワーク(盗まれたお金を引き出す人)を見つけることができるのでしょうか?
  2. 海外の銀行を含むすべての取引は、通常、腐敗とマネーロンダリングは政府機関によって厳格に監視されています。
  3. 他国の組織が関与する調査には、各州の法執行機関との調整が必要で、自国内で犯罪者を捕まえるよりも時間がかかります。
  4. 悪意のあるプログラムが動作する国の数を減らすことによって、攻撃者は検出される可能性も低減します。ターゲットリストが特定のカテゴリのコンピュータのみを含むようにさらに絞り込まれると、検出のリスクはさらに低下し、マルウェアがそのマルウェアに関わるインシデントに関心を持つ可能性は低くなります。

私たちの場合、ターゲットになったマシンはすべて会計士によって使用されていました。つまり、トロイの木馬は企業部門をターゲットにしています。

#drweb

このメッセージは、データが暗号化された後にハードドライブに残ります。

また、特定のマルウェアが使用している拡散技術が、メディアの人気にどのように影響するかも興味深いです。

5月19日現在で135件の感染が確認されており、95%がウクライナのコンピュータに関わっています。 一方、MalwareHunterによれば、ロシアでは世界中で20万人以上のホストを攻撃していたWannaCryを含む30件しか登録されていませんでした。これは、XDataの普及率が4倍高いことを意味します。

メディアに4倍の感染とパニック発作はない?それには理由があります。WannaCry (Trojan.Encoder.11432)は、主に大企業に属する家庭の家庭用PCを対象とし、中小企業にはあまり注意を払っていませんでした。また、Trojan.Encoder.11526の問題を議論していたさまざまな企業に焦点を絞った結果は非常に明白でした。

その結果、多くの悪意のあるプログラムは、ドロッパーが現金自動支払機から資金を引き出す国である銀行と連携して働くように設計されています。当然ながら、ロシアでも、中国人ユーザーなどを対象としたトロイの木馬が存在しますが、不要な注意を払うだけなので、貨幣コレクターにとっては役に立たないものです。

このマルウェアに関する情報は、M.E.Docのアップデートがリリースされた翌日の2017年5月18日にWeb上で公開され始めました。 その日、ウクライナの会計士は最新のアップデートをインストールしました。その結果、XDataに感染したマシンで行われたためにM.E.Docソフトウェアが壊れてしまったのです。この偶然性によって、マルウェアの活動とアプリケーションとの間に接続が存在すると信じる人がいました。

「昨夜マシンが稼働していたが、午前中には起動しなかった」と、マシンが侵害された会社の管理者が報告した。

おそらく、素晴らしく良いタイミングで行われたために、この攻撃は成功したのでしょう。一般的なアプリケーション用にリリースされたアップデートは、膨大な数のコンピュータにインストールされ、別のプログラムの動作が気づかれなくなる可能性があります。

しかし、トロイの木馬に関する最も重要な質問は、それがどのように広がっているのかです。どうすれば正確にシステムに侵入し、検出されないままになるのでしょうか?

ローカルネットワークにおけるイベントに対する制御の欠如は、大きなセキュリティ問題の1つです。その結果、侵入が未知のままであるだけでなく、侵入を容易にする悪意のあるモジュールも検出されなくなります。

#encryption #Windows #ransom #extortion #Data_Loss_Prevention #decryption #trojan #encryption_ransomware #anti-virus_updates #security_updates #Trojan_Encoder

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F