脅威の研究

ボットネットは野放しの状態:アバストが「Smominru」マイナーをブロック

Martin Hron, 2018年3月4日

暗号通貨マイナーのボットネット「Smominru」Windowsサーバーとコンピュータを攻撃。拡大する被害とその対策。

まず安心いただきたいのは、世界中のWindowsサーバーとコンピュータを脅かしている現在の脅威を含む暗号通貨マイニングからアバストユーザーは保護されています。Smominruボットネットは数十万台のサーバーやコンピュータに侵入し、CPUの処理容量を乗っ取り、暗号通貨Moneroのマイニングを行ってきました。ZDNetのレポートによると、Smominruボットネットは1日あたり24Monero (8,500ドル)のマイニングを行い、これまでに行ったマイニングの合計額は8,900 Monero ($280~360 万ドル) に上ります。

一方、懸念される事実としては、「野放し状態」が依然として続いているということです。このボットネットは意図的にWindowsコンピュータとサーバーをターゲットにしていますが、特にサーバーは処理能力が高く、しかも常時稼働のため、より多くのメリットをボットネットに対しもたらします。Smominruは驚くほどの速さで自己複製して再生し続けます。特徴としては、昨年WannaCry攻撃を仕掛けてワームのような形で拡散させるために利用された脆弱性である EternalBlueを悪用していることです。

Smominruによる攻撃の教訓

サイバーセキュリティ専門家はこのボットネットの詳細を調べる努力を続けていますが、下記に本記事の原文が発行された時点(2018年2月2日)までにわかっていた内容となります。

2月2日までの2週間の間にSmominru マイナー攻撃は断続的に発生し、ピーク時には 1日に3万件の攻撃が行われました。再生と拡散には一定のパターンがあるように見受けられます。

Avast_protects_against_cryptomining_botnet_smominru.jpg

被害が最も大きいのはロシア、ウクライナ、台湾、およびブラジルで、攻撃件数と対象ユーザー数の両方で最多になっています。これは地域特定が行われたのではなく、単にEternalBlue脆弱性のあるWindowsサーバーを見つけた結果である可能性が高いと考えられます。 世界中で数多くの国のコンピュータがターゲットになっています。


AVAST_BLOCKS_SMOMINRU_BOTNET_BY_COUNTRY2.png


ボットネット「Smominru」への対策

  • 一番のアドバイスはWindowsソフトウェアを必ずアップデートしておくことです。WindowsのEternalBlue脆弱性をめぐっては、WannaCryによる攻撃が発生する前に、すでに誰もがパッチを利用できる状況だったという皮肉な事実があります。アプリやオペレーティング システムをアップデートすることを嫌がる人や面倒なため行わない人が多数いますが、こうした人々の仲間にならないことをお勧めします。Windowsソフトウェアを最新バージョンにアップデートしてください。これによりEternalBlueなどの脆弱性を狙った攻撃から保護されます。