医療機関を狙ってPC内のデータを人質に取り身代金を要求するランサムウェア「SamSam」の被害が拡大していることが判明

by NEC Corporation of America

「Samsam(Samas)」という名前の新たなランサムウェアが、医療機関を標的にローカルネットワーク内にあるPCのデータを暗号化して身代金を要求する被害が増えていることが、セキュリティ企業Cisco Talosの調査により明らかになっています。

Cisco Talos Blog: SamSam: The Doctor Will See You, After He Pays The Ransom
http://blog.talosintel.com/2016/03/samsam-ransomware.html

Researchers detect surge in Samsam ransomware that spreads via vulnerabilities - SC Magazine
http://www.scmagazine.com/researchers-detect-surge-in-samsam-ransomware-that-spreads-via-vulnerabilities/article/485330/

ランサムウェアの多くは、フィッシングサイトや、悪意のあるウェブ広告、exploit kitなどを介してPCに侵入します。しかし、SamSamはアプリケーションサーバーのJBossやオープンソースフレームワークのREGeorgの脆弱性を悪用してサーバーに侵入し、「samsam.exe」という名前のファイルがローカルネットワーク内の端末に広がっていくため、ユーザーが何も動作を行っていない状態でも攻撃者がリモートでSamSamを作動させることができるとのこと。

SamSamがネットワークに侵入すると、PC内のファイルを暗号化し、暗号化解除のためにPCの所有者に身代金を要求するという手口で被害を拡大しています。CryptoLockerやLocky、TeslaCryptといったランサムウェアに比べると、被害範囲は広くありませんが、脆弱性の修正されていないサーバーを狙い、他のランサムウェアに比べて被害額が多いとCisco Talosは推測しています。これまでの被害額の合計は、およそ11万5000ドル(約1300万円)に上ると見られています。Talosの調査では、攻撃者は1ビットコイン～1.7ビットコイン(約400ドル～700ドル、約4万5000円～7万9000円)の身代金を要求するとのことで、22ビットコイン(約9160ドル、約103万円)もの身代金を要求された被害者もいたとのこと。

SamSamは医療機関やヘルスケア企業を標的としていて、JexBossとJBossアプリケーションサーバーを使用していることが判明しています。Talosの技術リーダーのCraig Williams氏は、「病院などの施設には、フルタイムで働くネットワーク管理者やITセキュリティ専門スタッフが常駐していないため、サイバー攻撃に狙われやすいのではないか」と推測しています。