同じマルウェアグループの亜種を比較すると、興味深い事実が判明することがあります。収益性が高いために広く流行している Trojan.Ransomlock も、そのひとつです。Trojan.Ransomlock は 2009 年にロシアで初めて検出されましたが、その後世界的に活発化し、特にこの数カ月間の活動は顕著でした。
Trojan.Ransomlock グループの脅威について、11 月のウイルス対策検出統計を詳しく解析したところ、上位 2 つの亜種は Trojan.Ransomlock.T と Trojan.Ransomlock.G であることがわかりました。
図 1. 過去 30 日間と 7 日間の Trojan.Ransomlock の検出状況
図 1 でわかるとおり、過去 30 日間では Ransomlock.T が最も優勢であり、僅差で Ransomlock.G が続いています。ところが、過去 7 日間の統計に限ると、Ransomlock.G が Ransomlock.T を抑えて 1 位になっています。これはなぜなのでしょうか。
次の分布図で、過去 7 日間に亜種が検出された場所を見てみましょう。
図 2. 過去 7 日間における Trojan.Ransomlock.T の検出の分布状況
図 3. 過去 7 日間における Trojan.Ransomlock.G の検出の分布状況
図 2 と図 3 を見ると、Ransomlock.T は依然として北米で優勢を保っており、さながらカウチポテトを決め込んだかのように見えます。一方の Ransomlock.G は、バックパッカーのように全世界にその足跡を残しています。Ransomlock.T が発生したのはドイツでしたが、現在は北米に移行したと言い切ってもいいでしょう。過去数カ月の検出統計でもそれは裏打ちされています。
Ransomlock.G については、次の図のアニメーションを見ると、全世界に広がっていく様子がわかります。
図 4. 2012 年 2 月から 11 月にかけての Ransomlock.G の分布の推移
この違いは、いったいどこにあるのでしょうか。マルウェアの活動を最も大きく左右するのは、感染経路と、ソーシャルエンジニアリングの手法です。Ransomlock.G と Ransomlock.T はどちらも悪用ツールキットによって配信され、巧みな詐欺を利用しますが、Ransomlock.G(別名 Reveton)は他の亜種よりさらに巧妙なようです。最新の悪用ツールキットを利用し、音声を使うなどの新しいソーシャルエンジニアリングの手法もすぐに採用しています。『Ransomware: A Growing Menace(ランサムウェア: 急増する脅威)』(英語)と題するホワイトペーパーで Gavin O’Gorman も述べているように、マルウェアの作成者は膨大な時間と労力を費やして、自分の作品の拡散に最も適した方法を探っているのです。
Trojan.Ransomlock.G に関与している詐欺師は、アダルト系の広告ネットワークを使ってポルノサイトの広告を配信し、そこから悪用パックの Web サイトに誘導します。そのインフラには相当額の資金が投入されており、悪用パックの Web サイトは定期的に新しいアドレスに更新されています。広告の量も膨大な量にのぼり、18 日間だけで 500,000 人以上が悪質な広告をクリックしました。
Kafeine 氏も Reveton ランサムウェアの地理的な拡散を確認しており、音声を使う最新技術について解説しています。
Trojan.Ransomlock.T と Trojan.Ransomlock.G の最新バージョンに対しては、以下の対策が行われています。
ウイルス対策: Trojan.Ransomlock.T
Trojan.Ransomlock.G Trojan.Ransomlock.G!g1 Trojan.Ransomlock!g13 Trojan.Ransomlock!g14 Trojan.Ransomlock!g17 Trojan.Ransomlock!g22 Trojan.Ransomlock!g26
侵入防止システム: System Infected: Trojan.Ransomlock.T System Infected: Trojan.Ransomlock.T 2 System Infected: Trojan.Ransomlock.G 2
Web Attack: Trojan.Ransomlock.G Download 万一ランサムウェアに感染してしまった場合でも、けっして身代金は支払わないでください。かわりに、シマンテックが提供している駆除手順に従うか、こちらのビデオ(英語)でさらに詳しい手順を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。