マカフィーは2月19日、セキュリティブログで、ユーザーのファイルを暗号化し身代金を要求するマルウェアであるランサムウェアが次の標的として狙っているシステムについて解説した。

ランサムウェアに感染したユーザーがロックを解除するには、金銭を支払って暗号化キーを入手しなければならないのだが、今のところ上々の成果を上げているという。

犯罪者は当初、消費者を標的としていたが、今や、企業や政府機関に対し、より価値の高いデータに対して高額な身代金を要求している。ランサムウェアはあまりにも巧妙なため、「ともかく身代金を支払うよう被害者に勧めることもよくある」というFBI捜査官の発言さえあるくらいだ。

同社によると、ランサムウェアは現在、規模の拡大から標的の絞り込み段階への移行中で、配信メカニズムの機能を高度化し、被害者から金銭を得るためのより有効な方法を探しているところだそうだ。

ランサムウェアは他のマルウェアと違い、感染すると復旧するためのクリーニングや除去ツールを実行できないため、防御側はランサムウェアが動作する前にそれを特定しなければならない。ただし、オフラインでのバックアップは予防措置として妥当かつ有効で、ランサムウェアの大半の機能を無力化できるという。

そのため、ランサムモデルはデータをわずか1ステップで暗号化するように変化しつつあるようだ。攻撃者は、社内から送信されたように見える電子メールなど、標的を絞った攻撃を利用して、脆弱なシステムに悪意のある暗号化ツールを埋め込む。その後、ファイルまたはデータストリームを暗号化したら、貴重な財務情報であれ、不都合な内容の電子メールであれ、ユーザーが金銭を払ってでも秘密にしておきたいデータを公表すると脅迫する。

Anti-Botnet Advisory Centre(ボットネット対策相談センター)によると、ドイツで最近発生した攻撃では、「Chimera」というランサムウェアが、ユーザーが600ユーロを超える身代金を支払わなければそのファイルを公開すると脅迫しているそうだ。Chimeraが実際にユーザーのファイルをエクスポートし、脅迫した内容を実行できるかどうかは不明だが、同社は「もしできなかったとしても、次に現れるランサムウェアは実行できる」とコメントしている。

同社は、ランサムウェアが次に向かう先として、スマートTVや会議用機器、あるいはセキュリティで保護されていないその他のデバイスなど、よりセキュリティが弱いシステムを挙げている。

また、攻撃が規模の拡大を狙ったモードから標的を絞ったモードに移行した場合は、ネットワーク全域およびクラウド全域において複数の地点で攻撃を検出できる、共通の情報戦略が必要だと指摘されている。攻撃者の人物像を理解しておくと、貴重かつ脆弱なデータを特定し、セキュリティ対策の優先順位を付ける際に役立つそうだ。