US-CERTが2014年12月19日付で、最近報道されたエンターテイメント産業の著名大手企業に対して行われたネットワーク攻撃で、SMB (Server Message Block)ワームツールが使用されたとの情報が信頼できる情報筋からUS-CERTによせられたこと、加えてSMBワームツールの概要を発表しました。
- 軽量なリスニングの埋め込み機能、バックドア、プロキシツール、破壊型ディスク操作ツール、破壊型ターゲットクリーニングツールなどの各種ツールを備えている。
- Windowsのシェアに対するブルートフォース攻撃で認証を試みる
- 認証に成功すると、SMBプロトコルのPort445を経由して5分毎に「ホーム」に接続し、ログを送信する
感染した場合の影響
SMBワームツールは破壊的な性格の強い機能を多数もっているため、感染したサイトはデータの消失、サービス停止などの深刻な障害に見舞われる危険があります。
対策
US-CERTは、警告の中で以下のような対応策を提唱しています。
- ユーザやシステム管理者は、以下のような予防措置を講じて備えるべき 必ずウィルス対策ソフトウェアをを使用すること。更新によって最新の状態に保つようにつとめることが重要。
- OSやアプリケーションソフトを最新の状態に保つこと。既知の脆弱性を悪用されないように、対策パッチ等をほどこすこと。多くのOSで、ソフトウェアの自動更新機能が提供されている。可能な環境であれば自動更新を推奨する。
US-CERTの発表へのリンク:TA14-353A: Targeted Destructive Malware