寄稿: Shaun Aimoto、Martin Zhang
Ramnit ワーム(W32.Ramnit)は繁殖力の高い Windows ベースのワームで、出現したのは 2010 年のことでした。Ramnit の作成者は、急速かつ広範囲に拡散することを狙って、多種多様な繁殖手法を用いました。コンピュータに侵入した Ramnit は、添付ファイルやリムーバブルドライブに自身をコピーします。致命的なのは、.exe、.dll、.htm、.html などのファイルも検索と感染の対象となることで、それが拡散にも永続にも威力を発揮します。
HTML ファイルへの感染には、2 つの手法が使われます。ひとつは、ワームを投下して実行する VBScript コードを HTML ページにインジェクトする方法、もうひとつは隠し iframe を HTML ファイルに埋め込み、ブラウザでそのページが開かれたときにリモートファイルをダウンロードさせる方法です。
その影響が広がったことを受け、2015 年、Ramnit は欧州刑事警察機構(ユーロポール)による合同捜査の対象となりました。シマンテックを含む多数の業界パートナーもこれに協力し、Ramnit ボットネットのインフラストラクチャは押収・解体に至ります。それ以来、Ramnit の活動は世界的に沈静化したはずでした。
Android 版の Ramnit?
繁殖力が強いためか、Ramnit はときどき Android アプリに混入していることが以前から確認されています。ただし、実際に Android 上で動作することはありません。2017 年 3 月には、100 以上のアプリで Ramnit の感染が確認され、すべて Google Play から削除されています。最近もシマンテックは、Ramnit に感染した新しいアプリが、またしても Google Play に出現したことを確認しました。最新の段階では、92 種類のアプリが感染しており、ダウンロード数は総計で 25 万に達しています。
新たに感染が確認されたなかには、Lesmana Studio から出ている教育向けアプリや、Arroya Apps という開発元によるデザインチュートリアルアプリ各種などがありますが、いずれも現在は Google Play 上に存在しないようです。
感染の件数だけを見ている限りでは、疑問が残ります。Ramnit は Android に移植され、現在 Google Play を通じて拡散しているのでしょうか。真実は、見た目どおりとは限りません。
数年前に打撃を被ったとはいえ、Ramnit を利用する犯人たちは完全に姿を消したわけではありません。また、世界的には感染が潜伏していた例も多いようです。今回の状況で最もありそうなのは、Android アプリ開発者の多くが、Ramnit に感染したコンピュータ上で開発やビルドを行っているという可能性です。あるいは、感染に気づかないままファイルをアプリにバンドルしてしまい、それが Google Play で公開されたのではないかと考えられます。Google に、アップロードされたアプリを審査するシステムがあることは知られています。しかし、審査プロセスの詳細まではわからないため、Ramnit に感染したアプリが審査プロセスをすり抜けてしまう原因について、確実なことはわかっていません。
[click_to_tweet:1]
ユーザーへの影響は?
すでに述べたように、Ramnit は Windows ベースのマルウェアであり、Android デバイス上で実際に動くわけではありません。ほとんどの場合、Android ユーザーが Windows を使っていても、感染したデバイスは安全です。感染したデバイスを Windows コンピュータに接続し、感染している HTML ファイルを探してブラウザで開かない限り、Windows 上で感染が顕在化することはありません。
シマンテック製品をお使いのお客様はこの攻撃から保護されています。シマンテックのノートン モバイルセキュリティがあれば、Ramnit をはじめとする脅威に備えることができます。感染したアプリは、そもそもデバイスに侵入することがなく、まして接続した Windows コンピュータに影響することはありません。
図. ノートン モバイルセキュリティが、感染したアプリを警告
Windows ベースのコンピュータでシマンテックのセキュリティソリューションをお使いの場合も、Ramnit への備えに関しては安心です。
今回のインシデントは、シマンテック製品をお使いの皆さまにとって危険性こそほとんどないものの、アプリの審査プロセスに抜け穴がある可能性を浮き彫りにしました。その抜け穴が埋まらない限り、Ramnit のような拡散手法が、これから出現する新しいマルウェアにも有利にはたらく恐れがあります。
このようなアプリが Google Play に存在することは、Google にも報告済みであり、該当するアプリはすでに削除されています。
対処方法
モバイルデバイスでこの種の脅威から身を守るために、セキュリティに関して以下のベストプラクティスに従うことをお勧めします。
- ソフトウェアは最新の状態に保つ
- 見たことのないサイトからアプリをダウンロードすることは避ける
- アプリは信頼できるソースだけからインストールする
- アプリがリクエストする許可の種類に注意する
- デバイスとデータを保護するために、ノートンなど適切なモバイル用セキュリティアプリをインストールする
- 重要なデータは必ず頻繁にバックアップを作成する
保護対策
シマンテックとノートンの製品は、Ramnit ワームを以下の定義で検出します。
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。