感染が拡大中のランサムウェア「Bad Rabbit」の対策について

ロシアやウクライナなどの地域を中心として、10月24日（現地時間）に、「Bad Rabbit」と呼ばれるランサムウェアの感染被害が確認され、多くの機関において業務に支障が出るなどの深刻な影響が発生しています。

当該ランサムウェアに感染するとコンピュータのファイルが暗号化され、コンピュータが使用できなくなる被害が発生する可能性があります。

当該ランサムウェアを感染させる手口としては以下が報道されています。

1. 攻撃者が、当該ランサムウェアを正規のインストーラ等に偽装して配布するウェブサイトへ誘導するコードを、一般のウェブサイトに埋め込む。
2. 利用者が、改ざんされたウェブサイトにアクセスして、当該ランサムウェアをダウンロードおよび実行し感染する。

また1台が感染すると、同一ネットワーク上の他のPCに感染が広がる可能性があります。

なお、現時点では当該ランサムウェアによって暗号化されたファイルを復号し元に戻す方法（ツール等）は確認されていません。

1.不審なインストーラ等のプログラムを実行しない

正規のインストーラ等に偽装した当該ランサムウェアの実行を防ぐため、インストーラ等は公式サイトからダウンロードしたことを確認したうえで利用してください。
また、不審なインストーラ等を確認した場合はシステム管理者等に問題ないか確認してください。

2.不審なメールの添付ファイルの開封やリンクへのアクセスをしない

ランサムウェアの感染には、細工したメールの添付ファイルを開封させる等の方法が用いられる場合があります。
メールの確認作業をする前に必ず以下の「3.」の対策を実施してください。
また、不審なメールを確認した場合はシステム管理者等に問題ないか確認してください。

3.ウイルス対策ソフトの定義ファイルを更新する

ご利用のウイルス対策ソフトの定義ファイルを最新のものに更新してください。
ご利用のウイルス対策ソフトが当該ランサムウェアを検知するかについては各ベンダにご確認ください。

4.定期的なバックアップをする

ランサムウェアに感染した場合に備え、重要なデータは定期的なバックアップを実施してください。バックアップデータを保存した機器はコンピュータやネットワークから切り離して保管してください。

感染してしまった場合、以下の窓口へご相談ください。
- IPA
情報セキュリティ安心相談窓口
https://www.ipa.go.jp/security/anshin/

Tel: 03-5978-7509
(なお、受付時間は平日の10:00～12:00および13:30～17:00とさせていただいています。)
E-mail：

IPA が入手した当該ランサムウェアの検体(※1)について、以下の動作を確認しました。

PC内データの暗号化、脅迫画面の表示

1. 当該ランサムウェアに感染すると、一定時間後にPCが再起動する。この時、操作は可能だがファイルは暗号化されている。
2. さらに一定時間経過後に、再度PCが再起動し、以下のような身代金要求画面が表示される。


図：感染した場合に表示される身代金要求画面の一例

ネットワーク内PCへの感染拡大

• 本ランサムウェアは、感染したPCと同一のネットワーク上にある他のPCへの感染拡大を試みる動作をしました。

影響を受ける OS

IPA では、次の OS で当該ランサムウェアの影響を受けることを確認しました。
• Microsoft Windows 7 SP1（32bit）
• Microsoft Windows 7 SP1（64bit）
• Microsoft Windows 10 （64bit）

※1. IPAが入手した「Bad Rabbit」のハッシュ値（ファイル等の同一性を容易に確認する値）：
SHA-256 : 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

今回のランサムウェアに関する参考資料

　　　　
• 新たなランサムウエア「Bad Rabbit」について
  https://www.jpcert.or.jp/newsflash/2017102501.html
　　　　
• Bad Rabbit: Not-Petya is back with improved ransomware
  https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/
　　　　
• 新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される
  https://blog.trendmicro.co.jp/archives/16226
　　　　
• Bad Rabbit：新たな大規模ランサムウェア攻撃の兆し
  https://blog.kaspersky.co.jp/bad-rabbit-ransomware/18518/
　　　　
• Threat Spotlight: Follow the Bad Rabbit
  https://blog.talosintelligence.com/2017/10/bad-rabbit.html
　　　　
• Multiple Ransomware Infections Reported
  https://www.us-cert.gov/ncas/current-activity/2017/10/24/Multiple-Ransomware-Infections-Reported

ランサムウェアに対する対策資料

• IPAテクニカルウォッチ「ランサムウェアの脅威と対策」
  https://www.ipa.go.jp/security/technicalwatch/20170123.html
　　　　
• ランサムウェア対策特設ページ
  https://www.ipa.go.jp/security/anshin/ransom_tokusetsu.html
　　　　
• 2016年1月の呼びかけ
  https://www.ipa.go.jp/security/txt/2016/01outline.html
　　　　
• ランサムウエア対策特設サイト
  https://www.jpcert.or.jp/magazine/security/nomore-ransom.html

脅威情報早期入手サービス

• サイバーセキュリティ注意喚起サービスicat
  https://www.ipa.go.jp/security/vuln/icat.html

IPA　技術本部　セキュリティセンター

E-mail：

※個別の環境や設定に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

2017年10月26日	掲載