今年5月、セキュリティ研修者らがWindowsのリモートデスクトップ機能に脆弱性が存在することを公表した。この脆弱性は「BlueKeep」と呼ばれ、発表当時、大きな話題になった。話題になった理由は、「BlueKeep」が過去に大規模なサイバー攻撃を引き起こしたWannaCryやnotPetyaに匹敵する危険性を持っていたためだ。

発見された当時は、1、2カ月後に大規模なサイバー攻撃が発生する可能性が指摘されていた。United States Computer Emergency Readiness Team (US-CERT)もその後何度かBlueKeepの危険性について警告を行っている。

しばらくの間、BlueKeepを使った大規模なサイバー攻撃は観測されなかったが、この度、BlueKeepを悪用したサイバー攻撃が始まったことがセキュリティ研究者であるKevin Beaumont氏から発表された(「BlueKeep exploitation activity seen in the wild - DoublePulsar」)。

Beaumont氏は10月23日の時点で、仕掛けておいたBlueKeepハニーポットの一つがクラッシュと再起動したことを検出したと指摘。以降、他のハニーポットがクラッシュと再起動を定期的に繰り返すようになったと説明している。同氏はこれをBlueKeepを悪用したサイバー攻撃と分析している。

  • 感染を確認 - 資料: BlueKeep exploitation activity seen in the wildより

    感染を確認 - 資料: BlueKeep exploitation activity seen in the wildより

本稿執筆時点では、脆弱性を悪用して仮想通貨マイナーのインストールが実施される程度の被害であり、データ窃取やデータ破壊といった攻撃は行われていないとされている。

しかし、依然として72万4000台のシステムがBlueKeepに対して脆弱な状態にあるとされており、今後さらに被害が拡大する可能性があり注意が必要。Microsoftはすでにこの脆弱性の修正を公開しており、利用しているWindowsを最新の状態にアップデートすることが望まれる。