ここに来て、ランサムウェアによる攻撃が、個人だけでなく企業の間でも目立ってきている。このような状況を受けてソフォスは4月20日、セキュリティ情報のポータルサイト「SOPHOS INSIGHT」内において「ランサムウェア最前線:Lockyなどの脅威にどう対応するのか"」と題するウェビナーを開催。同社 セールスエンジニアリング部 セールスエンジニアの椎山浩二氏が、ランサムウェアの沿革と最新情報、予防措置などについて解説を行った。
ランサムウェアの侵入経路と攻撃パターン
巷を騒がせている「ランサムウェア(Ransomware)」とはマルウェアの一種であり、“Ransom=身代金”というその名の通り、システム内の機密情報を暗号化したりPCをブロックしたりして使用不能にし、その復旧を条件に金銭を要求してくるというものだ。2013年に最初のランサムウェア「CryptoLocker」が登場した後、新しい亜種が次々と登場。身代金はランサムウェアによって異なるが、通常は200~500ドルで、現在の日本円で2~5万円程度となる。
ランサムウェアの感染ルートは主に2つある。1つはソーシャルエンジニアリングを使ったスパムメールへの添付ファイルであり、もう1つは改ざんされたWebサイトへのアクセスである。ランサムウェアの攻撃に使用されるテクノロジーの特徴として、メール経由の場合はマクロ付きのMicrosoft OfficeドキュメントやFlash、JavaScriptが用いられるケースが多く、またWebサイトを介する場合、エクスプロイトキットがよく使われている点がある。エクスプロイトキットとは、システムの脆弱性を攻撃するプログラムをすぐに作ることができるようパッケージ化したものであり、ブラックマーケットで簡単に入手可能なため多くの攻撃者が使用している。
「特に有名なエクスプロイトキットがAnglerで、ランサムウェアでは、CryptoWall、TeslaCrypt等によって使用されます。その多くのパターンでは、脆弱性のあるクライアント側のWebブラウザが標的となります」と、椎山氏はコメントする。
よくあるランサムウェアの攻撃パターンは、以下のようなものだ。まず、スパムメールに添付されたエクスプロイトキット、またはランサムウェアがインストールされると、感染させたコンピューター内の情報を攻撃者が使用するC&Cサーバーへと送信し、このコンピューター用の公開鍵をダウンロードさせる。次にこの公開鍵を使用して、ローカルコンピューターだけでなく、アクセス可能なすべてのネットワークにあるファイルが暗号化される。さらに、データを復旧できないようにするため、Windows OSの自動バックアップ(シャドウコピー)を削除するケースもある。こうしてファイルの暗号化が成功すると、データ復号化のために身代金を支払う指示を行った後、自分自身を削除してしまう。
「身代金の支払いでは、多くのケースで接続経路を匿名化するTorを介して操作が指示されます。ただし、もし身代金を支払ったとしても、復号化の鍵を必ずもらえるわけではありません」と、椎山氏は注意を促す。
最新のランサムウェアの脅威とは
続いて椎山氏は、最新のランサムウェアであるLockyと、その亜種のTorrentLocker、CTB-Lockerについて解説を進めた。この3つに共通する特徴として、スパムメールによってばらまかれる点と、Anglerエクスプロイトキットを介する点が挙げられる。
まずLockyは、2016年の初めから世界中で感染を拡大して大きな被害を与えているランサムウェアであり、ソフォスが今年3月に検知したランサムウェアの1位となっている。世界中で少なくとも40万台のマシンがLockyに感染したと見られており、感染するとデスクトップの壁紙を変更して、身代金を要求してくる。
続くTorrentLockerは、非常に巧妙な文面のスパムメールによって拡散されており、国別に標的を定めている。多言語に対応しており、これまでに日本語のものも確認されている。
そしてCTB-Lockerの特色は、アフィリエイトシステムのようなビジネスモデルで感染を拡大することにある。ユーザーを感染させると報酬の一部を受け取ることができるため、多数の「パートナー」が攻撃を行うようになる。
椎山氏は言う。「これら最新のランサムウェア3種にも使われているAnglerは、極めて悪名が高いエクスプロイトキットで、他のエクスプロイトキットと較べても群を抜いた存在だと言えます。Anglerは2014年の中頃から拡散されるようになりましたが、その使いやすさや入手のしやすさから驚異的なスピードで拡大し、瞬く間にエクスプロイトキットの主流となったのです」
2014年9月時点でのAnglerのシェアは22%に過ぎなかった。それがわずか8ヶ月後の2015年5月には80%以上のシェアを獲得しているのである。