バッドラビット(Bad Rabbit)とは、2017年に初めて確認されたランサムウェアの一種で、ロシアやウクライナを中心に広がり、東欧やトルコ、日本などにも影響を及ぼしたサイバー攻撃です。バッドラビットは、主に偽装されたAdobe Flash Playerのインストーラーを通じて感染を広げ、感染したシステムのファイルを暗号化してアクセスを制限し、解除のために身代金(ランサム)の支払いを要求します。
バッドラビットは「エターナルブルー(EternalBlue)」と呼ばれるWindowsの脆弱性を悪用したランサムウェア攻撃「ワナクライ(WannaCry)」や「ノットペティア(NotPetya)」の技術を元にした攻撃手法で拡散されましたが、独自の手口やコード構造を持ち、標的を意識した感染拡大手法が特徴です。
バッドラビットの感染経路
バッドラビットは、主に以下のような手法で感染を広げます。
- 偽装されたAdobe Flash Playerのインストール誘導 バッドラビットは、ユーザーが特定のウェブサイトにアクセスした際、偽のAdobe Flash Playerの更新通知を表示し、インストールを促す形で感染を開始します。この偽インストーラーをダウンロードして実行すると、バッドラビットのランサムウェアがシステムにインストールされます。
- ローカルネットワークへの拡散 バッドラビットに感染したデバイスは、同じネットワーク内にある他のデバイスへも感染を広げます。攻撃者はあらかじめ設定されたユーザー名とパスワードの組み合わせや、システム内の管理者権限の資格情報を悪用して、ネットワーク内の他のデバイスにアクセスします。このように、社内ネットワーク内の他のデバイスに感染が拡大するため、企業や組織内での被害が深刻化することがあります。
- エターナルブルー(EternalBlue)脆弱性の利用 バッドラビットの一部のバージョンでは、エターナルブルー(EternalBlue)というWindowsのSMB(Server Message Block)プロトコルの脆弱性を悪用して感染を拡大します。この脆弱性により、パッチが適用されていないWindowsシステムに対して、ネットワーク経由での感染を実現しています。
バッドラビットの攻撃の流れ
バッドラビットの攻撃は以下のような流れで進行します。
- 感染とインストール 偽装されたAdobe Flash Playerインストーラーを通じてランサムウェアがインストールされ、システムのデータが暗号化されます。
- ファイルの暗号化 バッドラビットは、システム内の主要なドキュメントファイルや画像、アーカイブファイルなどを暗号化し、アクセスを制限します。この際、暗号化の対象とするファイル形式が特定され、攻撃者が選んだ形式のファイルだけが暗号化される仕組みになっています。
- ランサムメッセージの表示 バッドラビットは、感染したデバイスの起動画面にランサムメッセージを表示し、暗号化を解除するためのビットコインによる支払いを要求します。メッセージには、アクセスを復旧するためのサイトURLや支払い方法が記載され、攻撃者は身代金の支払いが確認され次第、復号鍵を提供するとしてユーザーに支払いを促します。
- ネットワーク内での拡散 バッドラビットはネットワーク内の他のシステムやデバイスをスキャンし、アクセス可能な端末に対して同様の手法で感染を広げます。特に企業内のネットワークでは、複数のデバイスやサーバーが連鎖的に感染し、大規模な被害につながるケースが多いです。
バッドラビットの特徴と被害
特徴
- 標的型の攻撃:バッドラビットは特定の地域や企業を狙うことが多く、特定の国のメディアや組織を標的にして感染を拡大させたとされています。
- 偽装したアップデート通知:Adobe Flash Playerの偽のアップデート通知を使い、一般のユーザーが偽装を見抜きにくい形で感染を促します。
- 高度な拡散手法:EternalBlue脆弱性の悪用や、事前に設定されたリストに基づいたユーザー名とパスワードのブルートフォース攻撃を用いて、ネットワーク内で感染を拡大します。
被害
- データの損失:バッドラビットによって暗号化されたファイルは、復号鍵を入手できない限り元に戻せないため、データが失われるリスクが大きいです。
- 業務の停止:重要なデータやシステムへのアクセスが制限されることで、業務が停止し、多大な損害が発生します。特に、政府機関や大規模な企業においては業務への影響が大きいとされます。
- 金銭的な被害:ランサムウェア攻撃により、企業は身代金支払いを迫られ、被害者が要求に応じてビットコインを支払うケースも少なくありません。
バッドラビットへの対策
バッドラビットからシステムやデータを保護するためには、以下のような対策が有効です。
- 最新のセキュリティパッチの適用 バッドラビットはEternalBlue脆弱性を悪用するため、Windowsや他のソフトウェアのセキュリティパッチを適用し、脆弱性を解消しておくことが重要です。
- セキュリティソフトの導入 最新のセキュリティソフトを導入し、マルウェアの検知機能を有効にすることで、バッドラビットのようなランサムウェアの感染を防ぐことができます。
- バックアップの取得 定期的にデータのバックアップを取得しておくことで、万が一ランサムウェアに感染しても、バックアップからデータを復元できます。バックアップは、ネットワークから隔離された場所(オフラインやクラウド)に保存しておくことが推奨されます。
- ユーザー教育 バッドラビットはユーザーを騙す手法で感染を広げるため、従業員やユーザーに対して偽のアップデート通知やフィッシングの見分け方を教育することが効果的です。
- ネットワークセグメンテーション ネットワークを複数のセグメントに分けることで、感染が一部のセグメントに限定され、ネットワーク全体への拡散を防止できます。
- 多要素認証の導入 認証情報の悪用を防ぐため、管理者アカウントには多要素認証を導入することが推奨されます。これにより、攻撃者による不正アクセスのリスクが低減されます。
まとめ
バッドラビットは、2017年に東欧や日本を中心に被害をもたらしたランサムウェアの一種で、偽のAdobe Flash Playerアップデートを利用した感染手法や、EternalBlue脆弱性を利用してネットワーク内での拡散を図る点が特徴です。バッドラビットへの対策として、定期的なセキュリティパッチの適用、データバックアップ、ユーザー教育といった対策が推奨されます。ランサムウェアの被害を最小限に抑えるためには、日頃からセキュリティ対策の徹底とシステム管理の強化が重要です。