"BOKU"のITな日常

BOKUが勉強したり、考えたことを頭の整理を兼ねてまとめてます。

弱点を自分で探して侵入する標的型ランサムウェア「SamSam」

f:id:arakan_no_boku:20220410142441p:plain

目次

はじめに

リライトして、目次を追加しました。

内容は2018年4月時点のものです。

弱点を自分で探して侵入する標的型ランサムウェア「samSam」

今、「samsam」という標的型ランサムウエアが話題になっています。

security.sios.com

Samsam は、従来のランサムウェアとは異なる特徴があります。

Samsam は、ドライブバイダウンロードや電子メール経由では配信されません。

Samsam は、 Jexboss などのツールを使用して、Red HatJBoss  の脆弱性を悪用してサーバへ侵入後、無料で手に入る他のツールやスクリプトを使用して、ネットワークに接続されているコンピュータから資格情報などの情報を収集し、これらのファイルを暗号化して身代金を要求します。

つまり「弱点(脆弱性を解消するパッチがあたっていないJBossサーバー)」を探し出して侵入するわけです。

これは、かなり嫌な感じです。

 

JBossとは

Javaを基盤とするWebアプリケーションサーバです。

RedHatが提供していて、オープンソースで開発されています。

これが基盤となって動作しているシステムが社内にあると、それが踏み台にされるというのが今回の問題のようです。

 

JexBossとは

JBossの開発・テスト用フレームワークです。

脆弱性診断のための攻撃ツールとしても使えるのですが、今回は、これが実際の攻撃に利用されたという実に皮肉な結果になってます。

github.com

 

深刻な被害がでている:アトランタ

SamSamで被害がでているのがアトランタ市です。

被害はかなり深刻になっています。

先月22日頃発生して、日がたっているのに、まだ収束してないみたいですから。

www.itmedia.co.jp

基幹システムがランサムウェアにやられて、アトランタという大きな市の機能そのものが、これほど混乱するとは驚きです。

日本は大丈夫かと思ってしまいます。

 

防ぐのは地道にバージョンアップをするしかない

SamSamを防ぐ方法は、JBossをバージョンアップするしかありません。

以下のサイトに適用基準のバージョン情報があります。

security.sios.com

このへん、パッチはリリースされているわけですから、脆弱性対策のパッチがでたらすぐ最新のバージョンにする。

結局、それしかありません。

ところが・・。

現実的に、社内のシステムのバージョンを常に最新に維持する・・みたいな話になると歯切れが悪くなる会社があります。

JBossのようなプログラムの動作基盤になるものは、バージョンアップした後でプログラムの動作が問題ないかどうかをテストしないといけない場合があるからです。

そこに、ちゃんとコストをかける意識が上の人にあるかどうか。

そこがいつも壁です。

僕的には、悩む余地もないと思うのですけどね。

そこをケチって、ある日突然、以下のような画面が表示されるイヤさと比べたら。。

f:id:arakan_no_boku:20180407003735j:plain

ではでは。