2019年7月12日、セキュリティベンダーの『カスペルスキー』がこんな発表をしました。
Kaspersky、Windowsの既知の脆弱性を悪用するランサムウェア「Sodin」を発見
既知のWindowsの脆弱性(CVE-2018-8453)を悪用する、暗号化型ランサムウェア「Sodin」は、感染したシステムの特権昇格の脆弱性の悪用や、CPUのアーキテクチャを巧みに利用し検知を回避します。このような機能を持つランサムウェアはまれです。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
冒頭の引用である程度気づかれた方もいるかもしれませんが、今日は少々注意喚起の意味を込めての話題です。
検知を回避するランサムウェア『Sodin』
先日『カスペルスキー』が発表したランサムウェア『Sodin』は少々厄介なランサムウェアのようです。
昨年発見された『Windowsのゼロデイ脆弱性(CVE-2018-8453)』を悪用し、権限を昇格させる高度なアプローチをとっているとされています。
例えば、通常のランサムウェアの場合、『メールの添付ファイル』を開いたり『悪意のあるリンクをクリック』するなどユーザー側の操作が必要ですが、『Sodin』を使った攻撃ではユーザー側の操作は不要になります。
つまり、攻撃を受けてしまった場合は勝手に操作されてしまうということになります。
また、この『Sodin』の検知を難しくしている理由として、『32ビットプロセスから64ビットコードを実行』でき、『セキュリティの検知を迂回して回避』しているようです。
ただし、このような『ランサムウェア』は『まれ』なものでもあるとされています。
このような『ランサムウェア』の被害に遭わないためにも『Windows』や『セキュリティソフト』は最新の状態を保つ必要があります。
『Windowsのゼロデイ脆弱性(CVE-2018-8453)』は2018年10月に『パッチ(セキュリティ更新プログラム)』がリリースされていますし、『セキュリティソフト』に関しては『カスペルスキー』がこの発表を行った以上、他社も直ぐに対応の『定義ファイル』を配信しているはずですから、最新の状態を保つことが被害を防ぐことにつながります。
<追伸>
7月4日時点の『Sodin』の感染率は台湾が約17%、日本・ドイツ・韓国が8%程度となっているようです。
