被害にあったサイトは愛知県清須市のアイカ工業株式会社のホームページで、現在サイトを閉鎖しております。

　今回、猛威を振るっている「Bad Rabbit」はウェブ上の広告などに悪質の「Adobe Flash Player」のインストールファイルを埋め込ませ、ダウンロードさせようとします。（install_flash_player.exe）

　セキュリティ大手である「ESET」の調査によると、今回のWebの悪質の改ざんの分布は日本のサイトも全体の3.8％を占めているという結果が出ております。

　すでに日本国内でも被害が出ており、このランサムウェアに感染すると、一定時間後にPCが再起動され、ファイルは暗号化されてしまいます。最初の再起動後は操作はできますが、その後さらに一定時間経過後にPCが再起動し、MBRが書き換えられてPCが正常に起動しなくなり、以下のような身代金要求画面が表示されるそうです。

　このランサムウェアの開発にはアメリカの国家安全保障局が開発したものであるEternalRomance SMB RCEエクスプロイトを使用しており、今年4月にシャドーブローカーと呼ばれる悪名高いハッキンググループが漏洩させた多くのハッキングツールの1つとなっています。

　このEternalRomanceは、接続されたWindowsコンピュータ間でデータを転送するためのプロトコルであるMicrosoftのWindows Server Message Block（SMB）の欠陥（CVE-2017-0145）を利用して、ファイル共有接続のセキュリティをバイパスするリモートコード実行を悪用させたもので、 Windowsクライアントおよびサーバー上でのリモートコード実行を可能にします。

　 Bad Rabbitは、まずオープンなSMBシェアの内部ネットワークをスキャンして、マルウェアを削除するために一般的に使用される資格情報のリストを試し 、影響を受けるシステムから資格情報を抽出するためにMimikatzのエクスプロイトツールを使用します。
　そして、Windows Management Instrumentation Command-line（WMIC）スクリプティングインターフェイスを利用して、ネットワーク上の他のWindowsシステム上でリモートでコードを実行させます。

　Bad RabbitはEternalRomanceを使用したコードも運び、リモートハッカーを感染コンピュータから他のターゲットに効率的に伝播させることができることから、ほかのランサムウェアよりも効率よく他のPCへ感染させることができます。

　このBad Rabbitの感染の拡大を防ぐ方法は、WMIサービスを無効にしてマルウェアがネットワーク上に広がらないようにすることが一番の方法です。

　また、今回のBad RabbitはAdobe Flash Player（install_flash_player.exe）に偽装していますが、ほかのアプリに偽装し、再度ウェブ上を改ざんする可能性があります。

　ウェブを開いたときに、勝手にダウンロードの確認画面が出たらインストールは非常に危険です。間違っても保存や実行を押さないようにしてください。

　また、ダウンロードしたいアプリやドライバソフトは必ず公式サイトからダウンロードするようにしてください。

　今回の「Bad Rabbit」は日本でも被害が拡大しております。十分に注意して、セキュリティソフトは常に最新のものにしてください。