Vol.41 ランサムウェア攻撃ルートの多角化で猛威を振るう

Size: px

Start display at page:

Download "Vol.41 ランサムウェア攻撃ルートの多角化で猛威を振るう"

ふじきみひめい
5 years ago
Views:

1 Vol.41 ランサムウェア攻撃ルートの多角化で猛威を振るう

2017 年第 1 四半期ランサムウェア動向分析ランサムウェア攻撃ルートの多角化で猛威を振るう AhnLab Security Emergency response Center ( アンラボセキュリティ対応センター以下 ASEC) は 2017 年第 1 四半期のランサムウェア統計を発表した ASEC では自動分析システム ASD(AhnLab Smart Defense)

2 2017 年第 1 四半期ランサムウェア動向分析ランサムウェア攻撃ルートの多角化で猛威を振るう AhnLab Security Emergency response Center ( アンラボセキュリティ対応センター以下 ASEC) は 2017 年第 1 四半期のランサムウェア統計を発表した ASEC では自動分析システム ASD(AhnLab Smart Defense) から収集されたランサムウェアサンプルの感染報告件数を集計し 2016 年 10 月 ~2017 年 3 月までのランサムウェア動向を分析したこれによると第 1 四半期のランサムウェア量は増加したが感染件数はやや減少したことが分かったこれはいくつかのランサムウェアが活動を終了したこととユーザーのセキュリティ認識が強化されたことによるものと推測できるまたランサムウェア動向に加えてランサムウェアの変種と配布に使用された主な攻撃ツールキットも分析している [ 図 1] は 2016 年 10 月から 2017 年 3 月までに ASD を通じて収集されたランサムウェアサンプル数とユーザー感染報告件数の推移をまとめたものだ感染報告件数をみると 2016 年第 4 四半期は増加傾向にあったが今年に入り幸いにも減少傾向を見せているこれはランサムウェア Locky( ロッキー ) と TeslaCrypt( テスラクリプト ) が活動を休止したことに関連するサンプル数感染報告数 [ 図 1] ランサムウェアのサンプル数及び感染報告数の推移 (2016 年第 4 四半期 2017 年第 1 四半期 ) 2

3 これらは昨年一年を通して最も多くの変種や感染が報告されたランサムウェアでありその他 Cerber( ケルベル ) や CryptXXX( クリプト XXX) も 2016 年に猛威を振るった CryptXXX は 2016 年第 3 四半期まで活発に活動したが第 4 四半期に入って激減 Locky は 2016 年に最初に報告されており序盤にはエクスプロイトツールキット (Exploit Tool Kit 以下 EK) として広まったその後の 2016 年下半期にはダウンローダの役割をする悪質な JavaScript を含むスパムメールとして大量に配布された ( 診断名 :JS/Nemucod, JS/Downloader, JS/Obfus.S<number>) 2016 年の下半期から Locky 変種が激減して 2017 年の第 1 四半期にはほとんど姿を消しているがこれは昨年末ロシアのサイバー犯罪者が逮捕されてから特定の EKをこれ以上使用できなくなったことが原因と推定されているだが減少気味の感染報告数とは異なりサンプル収集量は着実に増加しており今後もランサムウェアの脅威は続くと思われる特にランサムウェアの変種は増加の一途を辿り新変種ランサムウェアへの対策も求められているランサムウェア流布関連の攻撃ツールキットおよび脆弱性 [ 表 1] は今年第 1 四半期までランサムウェアの配布に使用された代表的な脆弱性と攻撃ツールキットをまとめたものだ 2016 年下半期からは悪意あるスパムを利用したり脆弱性とスパムメールの双方を駆使する手法になっている悪名高い Cerber ランサムウェアがその代表例で 2016 年初頭は脆弱性を通じて配布されたが昨年下半期からは脆弱性とスパムメールの 2つのルートを使って配布されたまた 2 年前に韓国の有名なコミュニティサイトを通じて広まった Cryptolocker( 別名 Teerac または TorrentLocker) は最近ダウンローダ機能を持つ Java スクリプトや悪質なマクロが潜む Word または Excel ファイルが添付されたスパムメールで配布されている攻撃ツールキット脆弱性ランサムウェア Angler Exploit Kit Adobe Flash 脆弱性 (CVE ) Locky Neutrino Exploit Kit Adobe Flash 脆弱性 (CVE ) Internet Explore 脆弱性 (CVE ) Locky Magnitude Exploit Kit Adobe Flash 脆弱性 (CVE ) Cerber [ 表 1] ランサムウェアの配布に使用された脆弱性攻撃ツールキット脆弱性を突く手法が若干静まりつつあるのはセキュリティパッチの重要性に関するユーザーの認識が強化されたためと見られるだがメールを利用する手法は人の心理を巧みに手にとって騙す社会工学的手法でありターゲットにメールの添付ファイルを展開させることでセキュリティパッチの適用有無とは関係なく攻撃成功率が高くなる今後もスパムメールを利用したランサムウェアの拡散はさらに猛威を振るうだろう 2017 年第 1 四半期のランサムウェア変種 [ 図 2] は 2016 年末から 2017 年第 1 四半期までに発見された主なランサムウェアの変種をまとめたものである ASEC のデーターによると同期間 Ce rber が最も多くの変種を配布していた Cerber 2016 年初頭に最初に報告された Cerber は Magnitude Exploit Kit を利用した malvertising( マルバタイジング ) 手法で配布された 2016 年下半期からは韓国のハングルソフトで使用する HWP 拡張子も暗号化対象のリストに追加された 3

4 最新の Cerber 変種はシステムにインストール済みのセキュリティソリューションを探知してそのプログラムの全実行ファイルのインターネット接続を妨げる機能を備えていることが確認された [ 図 2] 主要ランサムウェアのバリエーション状況 (2016 年第 4 四半期 2017 年第 1 四半期 ) Locky Locky も Cerber 同様昨年登場してから猛威を振るったが 2016 年下半期からは変種の数が激減した Nabucur ランサムウェアはウイルスの悪意ある症状を含んでおり変種の数は多いものの実際の感染報告数は非常に少ない SageCrypt SageCrypt( セージクリプト ) は Cerber の次に 2017 年第 1 四半期多くのバリエーションが発見されかなりの感染報告があった同ランサムウェアは CryLocker の変形として知られているが特定の VBSファイルを作成して音声で感染の事実を知らせる点が Cerber と似ている Google マップの API を利用して感染システムの SSID MAC アドレスを送信し感染分布を把握すると推測される SageCrypt は某インターネットスポーツ芸能マスコミの Web サイトが出処であると確認されたがこれは Adobe Flash の脆弱性 (CVE ) を利用して配布されそのサイトの記事が S NSなどを通じて共有されたため感染報告数が増加したその他のランサムウェア変種 [ 図 2] に表記されたランサムウェア以外にも約 50 以上のネームドランサムウェア変種が発見された中でも今年注目すべきランサムウェアのバリエーションを簡単にご紹介しよう 4

5 VenusLocker VenusLocker( ビーナスロッカー ) は最近かなり流暢なハングルで書かれたスパムメールを利用して韓国の官庁をターゲットに配布された圧縮ファイル形式の添付ファイルを利用してダウンローダの役割をする悪質なマクロ文書を添付したタイプだった同ランサムウェアによって暗号化されたファイルは一部復元が可能であり復元ツールはアンラボのホームページからダウンロードできる CryptoMix CryptoShield これまで韓国で発見されなかった CryptoMix( クリプトミックス ) と CryptoShield( クリプトシールド ) がついに韓国にも上陸したこれらのランサムウェアはランサムノートと暗号化の拡張子が類似しており自己複製本の作成 Windows のデフォルトユーティリティを利用した Wind ows 復元の無力化暗号化除外対象の拡張子およびフォルダーパスがほぼ同じという特徴を持つ CryptoShield はランサムノートに自分は Cryp tomix の変種ではないという内容を記載したりしていた Spora Spora( スポラ ) はショートカット (.lnk) ファイルを作成して継続的な感染を誘導する多くのランサムウェアは一度暗号化した後で自身を再実行する戦略は使用しないしかし Spora CryptoMix CryptoShield は再起動後再実行されるように設定することが特徴だ Spora は脆弱性を介して配布されることもあり特に Chrome ブラウザのユーザーを狙って特定のサイトアクセス時に偽のポップアップを表示してクリックを誘導感染させていた Cerber ランサムウェアの配布先から発見されることもあり見た目が Cerber と類似した変種もしばしば発見された Spora は暗号化後に作成されるランサムノート内の情報を利用して被害者が攻撃者とチャットできる機能も備えているまた暗号化されたファイルのタイプに応じて攻撃者に支払う費用が変わる特徴もある攻撃方法の多角化と新変種で成功率を高めるこれまで述べたように最近のランサムウェアは脆弱性を利用したりスパムメールによる拡散が主流となっているまた malvertising 手法を用いてユーザーが意図しないサイトに誘導したり巧妙な社会工学的手法によってランサムウェアに感染させられるさらにユーザーの PCにインストールされたセキュリティソフトのアップデートを妨害する高度な攻撃手法も続々登場しているだが幸いなことに感染件数は 2016 年末に比べてやや減少しこれはいくつかのランサムウェアが活動を終了したせいもあるがアンチランサムウェアツールなどランサムウェアに対応するプログラムをサポートし始めたことが大きな要因となった何よりも多くのユーザーがセキュリティパッチを適用するなど基本的なセキュリティガイドラインを遵守した効果が現れたものと見られるしかしランサムウェア変種の数は着実に増え続けており今後も新変種ランサムウェアの動向を注意深くモニタリングする必要があるだろう 5

http://jp.ahnlab.com/site/main.do http://global.ahnlab.com/site/main.do http://www.ahnlab.com/kr/site/main.

6 アンラボとは株式会社アンラボは業界をリードする情報セキュリティソリューションの開発会社です 1995 年から弊社では情報セキュリティ分野におけるイノベーターとして最先端技術と高品質のサービスをご提供できるように努力を傾けてまいりました今後もお客様のビジネス継続性をお守りし安心できるIT 環境づくりに貢献しながらセキュリティ業界の先駆者になれるよう邁進してまいりますアンラボはデスクトップおよびサーバー携帯電話オンライントランザクションネットワークアプライアンスなど多岐にわたる総合セキュリティ製品のラインナップを揃えておりますどの製品も世界トップクラスのセキュリティレベルを誇りグローバル向けコンサルタントサービスを含む包括的なセキュリティサービスをお届け致します東京都港区芝 4 丁目 13-2 田町フロントビル 3 階 TEL: ( 代 ) 2016 AhnLab, Inc. All rights reserved.

Vol.71 政府機関を狙う連続ターゲット攻撃の目的は?

2019.11 Vol.71 政府機関を狙う連続ターゲット攻撃の目的は? THREAT ANALYSIS State Targeted Attack 政府機関を狙う連続ターゲット攻撃の目的は? 日韓輸出規制北朝鮮の相次ぐミサイル発射ロシア軍用機の領空侵害など韓国を取り巻く周辺国との対立が深刻化していた 7 月再び韓国政府機関を狙った標的型攻撃が発見されたアンラボがサンプルを分析したところ実はこの攻撃が

Vol.41 ランサムウェア 攻撃ルートの多角化で猛威を振るう

Vol.41 ランサムウェア攻撃ルートの多角化で猛威を振るう