とりあえず、タイトルはおいといて、日記をサボった昨日の話から。午後に、耳鼻科の予約があったのでいつもの某病院へ行ったのだけど、何の手違いか、予約時間を1時間半過ぎても呼び出されず、後の予定があったので、キャンセルして帰るというドタバタなど。ここの耳鼻科は、予約してあっても待ち時間が長いのが普通になっているのだが、流石に1時間半はキレた。で、そのまま歩いてこんなあたりへ。
そろそろ神田祭の時期とあって、秋葉原界隈もあちこちでこんな様子が見られる。アキバに寄ったのは、ソニーのサービスステーションに用事があったから。α5100のイメージセンサーのクリーニングをしてもらうためである。実は、こともあろうにイメージセンサーのホコリを吹き飛ばそうとして、勢い余ってツバを飛ばしてしまったとか・・・・。我ながら情けない。ブロアーを使うのが基本だというのに、横着をしたばっかりに、センサーにシミが付いてしまった次第。とりあえず、30分ほどの作業の間、少し秋葉界隈を歩いて歩数を稼ぎ、完了後受け取って帰り道に腹が減ったので、早めの晩飯。(+ビール)。
昨日から天気はちょっと下り坂。帰る頃には、かなり雲が厚くなっていたのだけれど、夜半からしっかり雨になった。今朝は起きてみたら本降りの雨。散歩に出る気も失せて、朝飯の後、CSのCNNで、またトランプ騒動(今度は、ツイッターでの恫喝発言やら、記者会見をしない発言・・・とか)を見ていたら、「サイバー攻撃」のニュース。イギリスで病院のシステムがダウンした・・・という話で、最初は細部が分からなかったのだが、BBCに切り替えてみたら、病院を標的とした攻撃ではなく、ランサムウエアの大量感染騒ぎがあって、その影響での話らしい。その時点で、99ヶ国75000件の攻撃という数字が上がっていたので、世界的なランサムウエアの一斉攻撃のようである。主要なターゲットは、イギリス、スペイン、ロシア、台湾といったあたり。使われたマルウエアは、WannaCryで、Windows SMBv1の脆弱性を攻撃して横展開するネットワークワームとのこと。最初の感染はおそらくメール添付ファイルとかだろうが、一台に感染して、そこからLAN内で横展開するのは恐ろしい。脆弱性は、3月の更新でパッチが既に提供されているものだが、これが適用されていないとLAN経由で感染してしまう。SMBへの攻撃なので、うちのFWログを調べて見たら、やはり未明から445/TCPのスキャンが一時的に増えていた。
ちなみに、これは、OSSIMのデータをエクスポートしてACCESSに読ませて、集計したものをEXCELでグラフ化するという面倒な手順を経ている。オープンソースバージョンのOSSIM(AlienVault SIEM)では、1時間単位とかで、イベントを集計する機能がないので、やむを得ずである。こうして可視化してみると、確かに今日の未明にかけて大きなピークが出ている。複数のピークは感染地域の時差によるものだろうか。ランサムウエアをワーム化することで、大量感染を引き起こし、身代金の回収効率を上げようという意図だろうか。2000年代のワーム大量感染の悪夢が、今度はランサムウエアの大量感染という姿で再来するのかと思うとぞっとする。今回、日本は主要なターゲットではなかったようだが、使われたマルウエアは日本語環境にも対応しているようだから、第二波以降の攻撃があっても不思議ではない。今回使われたマルウエアはすでに、セキュリティベンダに捕捉され、対策ソフトで検知可能だが、最近では検知されない亜種はすぐに作れるから、次の攻撃が検知出来るとは限らない。油断は禁物である。日本は既に週末だが、週明けの月曜日に、たとえば社員が持ち出して感染したPCから社内に蔓延・・・といった事態も想像できるから、各企業の情報システム部は注意した方がいいだろう。もうひとつ、ど派手な攻撃に紛れての標的型攻撃の可能性もあるので、特に重要なシステムや情報を持つ組織は、これが陽動である可能性も考えておく必要があるかもしれない。さて、そのスジな人たちにとっては、気の休まらない週末である。
コメントする