ランサムウェア「Bad Rabbit」の国内における検知状況について

記事をシェアする:

10月24日より、「Bad Rabbit」と呼ばれるランサムウェアの感染がロシアやウクライナなどの地域を中心に拡大しているとの報告がなされています。
Tokyo SOCでは、本レポートの公開時点（2017年10月26日18:00時点）において日本国内で「Bad Rabbit」の感染が拡大している傾向は確認していません。
以下、Tokyo SOCにおいて確認した「Bad Rabbit」の情報および検知状況を共有いたします。

「Bad Rabbit」は、改ざんされたWebサイトを閲覧することをきっかけとして以下のように感染が行われます。

■「Bad Rabbit」感染ステップの概要

(1) 改ざんされたWebサイトにアクセスすると、Adobe Flash Playerのインストールを促す偽のポップアップが表示される
(2) インストールを許可するボタンをクリックすると、インストールファイルに偽装されたマルウェア（実行ファイル）がダウンロードされる
(3) ダウンロードしたファイルを実行すると「Bad Rabbit」に感染する

Tokyo SOCでは、上記(2)にあたるマルウェアのダウンロードを10月24日に1事例確認しました。
しかしながら、25日以降は同ファイルのダウンロードや「Bad Rabbit」への感染報告は確認しておらず、国内の企業環境において本マルウェアの感染が拡大していることを示す傾向は確認していません。

以下に、Tokyo SOCで確認したマルウェアのダウンロードURLやファイルのハッシュ値、その他の参考情報を掲載いたします。
下記の情報を参考に、ファイアウォールやProxy、その他セキュリティー製品等のログに該当するログが記録されていないかご確認ください。

【マルウェアのダウンロードURL】
1dnscontrol[.]com/index.php
※ 本URLは既にアクセスできなくなっていますが、念のため本URLへのアクセスは行わないでください。

【検知したマルウェア（実行ファイル）のSHA-256ハッシュ値】
630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

【その他の参考情報】
・IBM X-Force Exchange : XFTAS-SI-2017-00001 – Bad Rabbit
https://exchange.xforce.ibmcloud.com/collection/XFTAS-SI-2017-00001-Bad-Rabbit-51701e9c25aaaf7e02b19fa6d63ccc80

・IBM X-Force : Bad Rabbit Ransomware Attacks Highlight Risk of Propagating Malware Outbreaks
https://securityintelligence.com/bad-rabbit-ransomware-attacks-highlight-risk-of-propagating-malware-outbreaks/

・JPCERT/CC : 新たなランサムウエア「Bad Rabbit」について
https://www.jpcert.or.jp/newsflash/2017102501.html

・IPA : 感染が拡大中のランサムウェア「Bad Rabbit」の対策について
https://www.ipa.go.jp/security/ciadr/vul/20171026-ransomware.html

【著者情報】

窪田 豪史

2007年日本アイ・ビー・エム株式会社入社。Tokyo Security Operation Center(SOC)アナリストとして監視・分析業務や脅威情報発信を行う。2018年よりX-Force Incident Response and Intelligence Service 日本チームメンバーとしてセキュリティー・インシデント対応支援に従事。CISSP、GREM。