こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

米国時間の4月18日、Threatpostに掲載された記事「3.2 Million Servers Vulnerable to JBoss Attack」によると、先月から猛威を振るっているランサムウェア「Samsam(Samas)」の攻撃でJBOSSの脆弱性が使われている形跡があるとCisco Talosが報告しています。

今回は、このJBOSSの脆弱性に関連するSamsamの情報をまとめます。

Critical

Samsam(Samas)は、昨年からセキュリティ上の脅威として取り上げられるようになって来ているランサムウェア（ユーザーのデータを「人質」にとり、データの回復のために「身代金」（ransom）を要求するソフトウェア）の一種です。例えば、ユーザデータを勝手に暗号化して、金銭と引き換えに復号すると脅迫したり、ユーザのデータをランダムに少しずつ削除していき、削除をやめる代わりに金銭を要求するなどといったものになります。

このSamsamの特徴は、トレンドマイクロ社のサイトに詳しく記載されていますが

1. バックアップを探しだして破壊する

2. LAN内での拡散活動を行う

となっています。

特に、医療機関を標的にして被害が拡大しているようです。

今回のCisco Talosの報告によると、このSamsamでは攻撃者はJexBoss(JBoss Application Server の開発/テスト用フレームワーク)を使って、CVE-2010-0738の脆弱性を足がかりにして攻撃を行っているようです。ひとたびネットワークにアクセスできれば、攻撃者はSamSamを使用して複数のWindowsシステムに対して暗号化を行います。

Red Hatでは、「Is my JBoss / EAP Server Vulnerable to Samas Ransomware? 」といったURLを用意して、対処方法を案内しています。これによると Red Hat JBoss Enterpriseのリリースバージョンを、少なくとも下記のもの以上にしておけば、踏み台には使われないようです。

• Red Hat JBoss Enterprise Application Platform (EAP) 5.0.1

• Red Hat JBoss Enterprise Application Platform (EAP) 4.3 CP08

• Red Hat JBoss Enterprise Application Platform (EAP) 4.2 CP09

• Red Hat JBoss SOA-Platform (SOA-P) 5.0.1

• Red Hat JBoss SOA-Platform (SOA-P) 4.3 CP03

また、JBOSS インスタンスがJexJBossの脆弱性を持っているかをテストする方法も、Red Hatのサイトで紹介しています。

3.2 Million Servers Vulnerable to JBoss Attack

SamSam: The Doctor Will See You, After He Pays The Ransom

FBI wants U.S. businesses to help as cyber extortion gains urgency

Is my JBoss / EAP Server Vulnerable to Samas Ransomware?

凶悪化するランサムウェア：遠隔でLAN内拡散、バックアップも破壊する「SAMAS」

医療機関を狙ってPC内のデータを人質に取り身代金を要求するランサムウェア「SamSam」の被害が拡大していることが判明

6/15に「OSSセキュリティナイター vol.1」と題して、セキュリティのセミナーを行います。この回では「急増するランサムウェア その脅威とOSSの対策」として、ランサムウェアのリスクとOSSでの対策方法などをお話します。

また、LinuxFoundationでのセキュリティに対する取り組みや、Rapid7(株)による脆弱性リスク管理も併せてご紹介します。

mkt-i.actonservice.com/acton/fs/blocks/showLandingPage/a/15078/p/p-0035/t/page/fm/0がプログラム内容と申し込みの詳細になりますので、是非お申し込み下さい。