ランサムウェアの攻撃手法とは?ランサムウェアを理解するための徹底ガイド- Part 2

セキュリティHotニュース

1iStock_000019655775XSmall.jpg

Part 1でランサムウェアについて知っていただいたので、次にそれがどのように広がって機器に感染するのかを見てみましょう。

どのようにシステムに侵入しますか?

一般的な侵入技術は:

・スパムとソーシャル・エンジニアリング

・ダイレクトドライブバイダウンロードまたは不正広告

・マルウェアのインストールツールとボットネット*1

数年前ランサムウェアが最初に現れたときは、主にユーザーがEメールに添付されたマルウェアを含むファイルを開くか、虚偽の電子メールやポップアップ画面によって、不正なWebサイトに誘導されたときに、コンピュータが感染してしまいました。ランサムウェアの新しい変種はリムーバブルUSBドライブやメッセンジャー機能を介して広がっていると見られ、データ本体は画像として偽装されています。

2article-2b.png

CTB Lockerは、多くのニュースで取り上げられ、次々と被害者を増やしたランサムウェアで、攻撃的にスパムを展開しています。Eメールは、.zipアーカイブを添付ファイルで送信するFAXメッセージとして送信されます。zipファイル内の実行ファイルを展開すると、システム上のデータが暗号化され、被害者は解除キーを受け取るために身代金を支払うよう要求されます。CTBロッカーの詳細はこちら

しかし、最新の変種は、人間が介入することなく、自分自身で増殖するように再設計されている可能性があります。最近、いわゆる"ドライブバイ ランサムウェア"が関係している事件数の増加が確認されています。ドライブバイダウンロード攻撃は、不正なウェブサイトや悪意のある広告から始まり、通常、Flash Player、Java、Adobe Reader、Silverlightなどのブラウザプラグインの脆弱性を悪用します。このような攻撃に使用されるツールには、権限の昇格を実現する機能があります。 権限昇格の悪用により、攻撃者は、被害者のローカルユーザーアカウントを使用するのではなく、管理者またはシステムレベルの権限でマルウェアプログラムを実行できます。

各ランサムウェアの変種は、異なる動作をするように設計されている可能性があります。しかし、初期段階でウイルス対策ソフトに検出されることを避けるための、かなり複雑な難読化や密かに起動させるメカニズムといった一般的な特徴が見られます。これは、マルウェアが表には出ないまま潜んでいて、あいまいなファイル名、ファイル属性の変更、正規のプログラムやサービスを偽装した環境での操作などを、検出・分析することを妨害する技術を使用していることを意味します。マルウェアの多層防御により、データを読み込むことが出来ず、リバースエンジニアリングのプロセスを非常に困難にしています。

3article-2c.png

それに加えて、ランサムウェアの通信プロトコルはプレーンテキスト(HTTP)からTorやHTTPSにアップグレードされていて、C&Cサーバーへの通信を暗号化して追跡できないようにしています。短いキーやハードコードされたキーを使用するのではなく、強力で非対称暗号化を行うcrypoライブラリを使用するように、ファイルの暗号化方法も修正されています。 たとえばCryptolockerやCryptowallなどの初期サンプルは、まずサーバーに接続し、後で暗号化を実行しています。

ランサムウェアがどのように動作するかをより良く理解するために、Cryptolockerを調べてみましょう。Cryptolockerランサムウェアは、Zbotの変種(悪意のあるタスクを実行するために使用されたトロイの木馬)によってインストールされます。実行後、自身をランダムな名前でスタートアップに追加し、C&Cサーバーとの通信を試みます。成功すると、サーバーは公開キーと対応するビットコインアドレスを送信します。非対称暗号化方式(公開鍵と暗号化解除用の秘密鍵)を使用して、Cryptolockerは被害者のデバイス上に存在する可能性のある70種類を超えるファイルの暗号化を開始します。

4article-2a.png

暗号化の仕組みを簡単に表した図がこちらです:

5encryption.gif

その間に、さまざまなメッセージや指示がユーザーの使用している言語に変換され、ユーザーのホーム画面に表示されます。

6cryptolocker-800x630.png

感染したユーザーは、サーバーに格納されている秘密鍵の料金を支払うように指示され、それがなければ復元は不可能です。身代金が支払われると暗号化の解除が始まり、支払い確認画面が表示されます。解除が終了すると、Cryptolockerファイルが削除されます。

注:身代金を支払っても、あなたのファイルが必ず元に戻ると保証されているわけではありません。

誰が被害者になりますか?

ランサムウェアは家庭のコンピュータに影響を与えるだけではありません。企業、金融機関、政府機関、学校およびその他の組織は、ランサムウェアに今後感染する、またはすでに感染している可能性があります。このようなインシデントは、機密情報を破壊し、日々の業務を混乱させ、経済的な損失をもたらします。組織の評判にも悪影響を及ぼす可能性があります。攻撃者は、対象となるファイル、データベース、CADファイル、財務データを狙っています。例えば、Cryptolockerは、過去に.doc、.img、.av、.src、.cadなど、70種類以上のファイル拡張子を標的にしていました。

ランサムウェアは、被害者から金銭を奪い取る能力を高め、かつてない成功を収めているため、ユーザーとマルウェア対策を行う企業の両方にとって非常に脅威となる、とBitdefenderのチーフセキュリティストラテジストは述べています。

*1 ボットネット:外部からの命令で一斉にDDoS攻撃を仕掛ける等、遠隔操作が可能なマルウェアに感染した機器群。

Part 3 ランサムウェアの被害を防ぐ方法 につづく