先日、FBI(連邦捜査局)は、US-CERT および CCIRC(カナダのサイバーインシデント対応センター)と合同で、ランサムウェアを伴うインシデントの増加について警告を発しました。2 月にはシマンテックも、大流行しているランサムウェアのひとつ Locky の急増についてお伝えしたばかりです。過去数カ月では、Samsam(別名 Samas または Samsa)という新しい亜種が、標的型攻撃の手法でシステムに感染したことも報道されています。
標的型のランサムウェア 従来型のランサムウェアは、ドライブバイダウンロードや悪質なスパムメールを介して拡散する悪質なダウンローダを利用してシステムに感染します。悪質なダウンローダが感染に成功すると、後続のマルウェアがダウンロードされ、そこに暗号化ランサムウェアが仕込まれています。また、悪質なメールにはさまざまなファイルが添付されており、それを開くとランサムウェアの多様な亜種のうちいずれかがダウンロードされ、実行されて暗号化プロセスが始まります。ファイルが暗号化されると、ファイルを復号するためと称して被害者は身代金の支払いを要求されます。
Samsam は、これまでのランサムウェアとは違って、拡散にドライブバイダウンロードやメールを利用しません。かわりに、攻撃者は Jexboss などのツールを使って、Red Hat 社の JBoss エンタープライズ製品を実行しているパッチ未適用のサーバーを特定します。JBoss の脆弱性を突いて、そうしたサーバーへの侵入に成功すると、攻撃者は無償で公開されているツールやスクリプトを利用して資格情報を収集し、ネットワーク接続されたコンピュータに関する情報も収集します。そのうえで、ランサムウェアを使ってシステム上のファイルを暗号化し、身代金を要求します。
Samsam が他のランサムウェアと異なるもうひとつの点は、攻撃者が自身で RSA 鍵ペアを生成するという事実です。暗号化ランサムウェアのほとんどは、侵入先のコンピュータでファイルを暗号化する際、コマンド & コントロール(C&C)サーバーに接続し、サーバーが RSA 鍵ペアを生成して公開鍵を送り返します。ところが Samsam の場合、攻撃者が鍵ペアを生成し、ランサムウェアとともに公開鍵を標的のコンピュータにアップロードするのです。
ランサムウェアの果てしないイノベーション Samsam も、増加の一途をたどるランサムウェアの新たな亜種にすぎませんが、パッチ未適用のサーバー側ソフトウェアを使って標的のコンピュータに侵入するという手口が、他のランサムウェアとは一線を画しています。ここで注意する必要があるのは、サイバー犯罪者が、ランサムウェア攻撃で企業を直接標的にするという傾向が広がっていることです。こうした最近の攻撃の成功例は、脆弱な企業に狙いを定めて最大限の儲けを狙うという戦術にサイバー犯罪者がシフトしつつある兆候と言えます。
ランサムウェアは、採算の取れるビジネスモデルであることが明らかになりました。である以上、攻撃に使われる手法が悪質なスパムやドライブバイダウンロードから、標的型攻撃に似た形に変化しても不思議ではありません。
JBoss エンタープライズ製品を自社の環境に展開している場合には、パッチ未適用のバージョンを使っていないかどうか確認し、該当する場合にはただちにパッチを適用してください。Red Hat 社によると、次のバージョン以降の JBoss は影響を受けないということです。
保護対策 シマンテック製品とノートン製品をお使いであれば、次の検出定義で Samsam とその亜種に備えることができます。
ウイルス対策:
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】