2017年11月2日木曜日

新種のランサムウェア「Bad Rabbit」 ~その概要と実際の攻撃事例~

マルウェアとは?

https://japan.zdnet.com/keyword/%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2/

ウイルス、ワーム、スパイウェア、ボットなど悪意のあるソフトウェアを総称して「マルウェア」と呼ぶ。悪意があるの意である「Malicous」と「Software」をつなげた造語。 ここ数年の間に、マルウェアはさまざまな感染手法を取り入れ、さらにワームがスパイウェアの機能を持ち始めたり、ワームの感染力とバックドアによる制御機能を備えたボットが出現したりと、脅威の多様化と複合化が進んでいる。 2015年ごろから、ランサムウェアと呼ぶ、身代金要求型のマルウェアも出現しており、ユーザーに脅威を与えている。

ランサムウェアとは?

https://japan.zdnet.com/keyword/%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2/

マルウェアの一種で、感染したコンピュータ上のファイルやデータの暗号化などによりユーザーのアクセスを制限するもの。その制限を解除するために、攻撃者が金銭を要求することから「身代金ウイルス」とも呼ばれる。ランサムウェア自体は古くからある攻撃手法だが、近年になってビットコインに代表される仮想通貨の普及により、身代金を要求しやすい手段が整ってきたのが攻撃増加の要因と言われている。 20175月には、ランサムウェア「WannaCry」による世界的な被害が話題を呼んだ。

動画


新種のランサムウェア「Bad Rabbit
知っておくべき10のこと
Danny Palmer ZDNet.com 翻訳校正: 石橋啓一
20171029 0730https://japan.zdnet.com/article/35109484/
新しいランサムウェアの攻撃キャンペーンが始まり、ロシアと東欧の有名な企業や組織が被害を受けている。
 「Bad Rabbit」と名付けられたランサムウェアへの感染は、米国時間1024日に始まった。2017年に入って「WannaCry」や「Petya」が流行したときとは違い、感染は同時に発生したようだ。
 爆発的な感染が発生した直後は混乱が生じ、Bad Rabbitに関する正確な情報が流通しなかった。パニック状態がある程度沈静化してきたところで、現状について分かっていることをまとめてみよう。

1Bad Rabbitの影響を受けたのは主にロシアと東欧

 主にロシアとウクライナの企業や組織がランサムウェアの被害を受けた(ドイツとトルコの少数の組織も対象となった)。Avastの研究者は、ポーランドと韓国でもこのマルウェアを検知したと述べている。
 ロシアのサイバーセキュリティ会社Group-IBが、少なくとも同国の3つのメディア組織が被害を受けたことを確認しているほか、ロシアの通信社Interfaxも、同社のシステムが「ハッカーの攻撃」の影響を受けたと述べており、さらにこのインシデントが原因でオフラインになっているとみられている。
 ほかにも、オデッサ国際空港やキエフ地下鉄を含むこの地域の組織が、サイバー攻撃の被害を受けたことを発表しており、CERT-UAComputer Emergency Response Team of Ukraine)も、Bad Rabbit感染の報告が入っていることを受けて、「ウクライナの情報資源に対する新たなサイバー攻撃の波」が発生した可能性があると投稿している。
 24日の時点で200近くの標的が感染していると考えられており、これはWannaCryPetyaと比べて圧倒的に小規模だが、感染した組織では依然として問題が続いている。
 AvastのマルウェアアナリストJakub Kroustek氏は、「既知のサンプルの全体的な広がりは、ほかの『一般的』な問題と比較すると極めて小規模だ」と述べている。

2.これはランサムウェアである

 不運にも攻撃の標的になった被害者は、何が起こったかをすぐに把握した。これは、Bad Rabbitが微妙な駆け引きをしないためだ。Bad Rabbitは被害者に対して、ファイルがアクセスできなくなっており、「われわれの復号サービスなしでファイルを回復することは誰にもできない」と告げる身代金要求メッセージを突きつける。

 Bad Rabbitの身代金要求メッセージ
提供:ESET

 被害者は、カウントダウンタイマーが表示された、Torネットワーク経由で支払い用のページに誘導される。被害者に対する指示は、ファイルを復号する見返りに、40時間前後の制限時間内に0.05ビットコイン(約285ドル)を支払えというものだ。タイマーがゼロになるまでに身代金を支払わなかった場合、身代金は引き上げられる。

Bad Rabbitの支払いページ

提供:Kaspersky Lab


 暗号化には、ドライブ全体を暗号化するためのオープンソースのソフトウェア「DiskCryptor」が使われている。暗号化に使用された鍵は「CryptGenRandom」で生成され、ハードコーディングされたRSA2048ビット公開鍵で暗号化されている。

3Petya/NotPetyaをベースにしている

 身代金要求メッセージに見覚えがある人もいるはずだ。それはこれが、6月にPetyaが流行した際に使われたものとほとんど同じだからだろう。類似点は外見だけではない。Bad Rabbitは中身にもPetyaと共通の要素を持っている。
 Crowdstrikeの研究者が行った分析によれば、Bad Rabbitと「NotPetya」のダイナミックリンクライブラリは、同一のコードを67%共有している。これは、この2つのランサムウェアが密接に関連していることを示しており、同じ作者が作ったものである可能性もある。

4.感染経路は乗っ取られたサイトから提供された偽のFlashアップデートだった

 Bad Rabbitが広まった主な感染経路は、ハッキングされたウェブサイトを足がかりにしたドライブバイダウンロード攻撃だった。攻撃コードは使用されていない。ユーザーがハッキングされたウェブサイト(その一部は6月から乗っ取られていた)を閲覧すると、Flashのアップデートをインストールする必要があるというメッセージが表示されるようになっていた。もちろんこれは、Flashのアップデートではなく、Bad Rabbitをインストールするためのドロッパーだった。

Bad Rabbitを感染させる偽のFlashアップデートをインストールさせようとするウェブサイト

提供:ESET


 感染したウェブサイト(主にロシア、ブルガリア、トルコのサイト)では、HTMLの本体か、.jsファイルのいずれかに、悪質なJavaScriptのコードが挿入されていた。

5.ネットワーク経由で感染を横方向に広げる能力を持っている

 Cisco Talosの研究者によればBad RabbitPetyaと同じような巧妙な仕組みを備えており、感染したネットワーク上で、ユーザーの関与なしにSMBを通じて横方向に感染を広げるという。
 Bad Rabbitの感染能力を高めているのは、単純なユーザー名とパスワードの組み合わせのリストだ。これを利用した総当たり攻撃で、ネットワークを横断的に攻撃していく能力を持っている。弱いパスワードのリストには、簡単な番号の組み合わせや「password」などをはじめとする、よく使われる弱いパスワードが大量に含まれている。

6.…ただしEternalBlueは使用されていない

 Bad Rabbitが登場した時点では、WannaCryと同じく、感染にEternalBlueが利用されているという指摘も出た。しかし現在では、これは当てはまらないと考えられている。
 Cisco Talosのセキュリティ研究テクニカルリードを務めているMartin Lee氏は、米ZDNetの取材に対し、「今のところ、感染の拡大にEternalBlueの攻撃コードが使用されたという証拠は見つかっていない」と述べている。

7.無差別攻撃ではない可能性がある

 WannaCryの爆発的感染が発生した際には、世界中で何十万台ものシステムが被害に遭った。しかし、Bad Rabbitは無差別にターゲットを感染させているようには見えず、研究者らは選ばれた標的だけを感染させている可能性があると指摘している。
 Kaspersky Labの研究者は「当社の所見では、これは企業ネットワークに対する標的型攻撃だ」と述べている
 またESETの研究者は、感染したウェブサイトに組み込まれたスクリプトの命令は、閲覧者が関心の対象であるかどうかを判断し、(感染させるのに適していれば)コンテンツをページに追加できるようになっていると述べている
 ただし現時点では、この攻撃で特にロシアやウクライナのメディア組織やインフラが狙われた明確な理由は分かっていない。

8.誰が犯人かは明らかではない

 現時点では、誰が、どんな理由でBad Rabbitを広げているかは明らかになっていないが、Petyaとの類似性があることから、一部の研究者は同じ攻撃グループによる攻撃だと考えている。ただし、6月のPetyaの大流行を引き起こした犯人は特定されていないため、この情報は攻撃者や動機の特定には役に立たない。
 この攻撃の特徴は、主にロシアで感染が広がったことだ。東欧のサイバー犯罪組織は、「ルーツ」であるロシアへの攻撃を避ける傾向があるため、犯行グループがロシアのグループである可能性は低いとみられる。

9.「ゲーム・オブ・スローンズ」のキーワードが含まれている


 Bad Rabbitを広げたのが誰であれ、犯人は「ゲーム・オブ・スローンズ」のファンのようだ。コードには、ViserionDrogonRhaegalというキーワードが出てくるが、これは同テレビドラマシリーズと、その原作小説に登場するドラゴンの名前だ。コードを書いた人物は、ハッカーはオタクやマニアであるという偏見を変えようという努力はしなかったらしい。

コード中の「ゲーム・オブ・スローンズ」のドラゴンへの言及
提供:Kaspersky Lab

10.感染を防ぐための手段がある

 研究者らは、ランサムウェアの広がりを助長するだけだとして、身代金を支払うべきではないと述べているが、現時点では、身代金を払わずに暗号化されたファイルを取り戻すことが可能かどうかはわからない。
 多くのセキュリティ企業は、自社の製品はBad Rabbitに対する保護に対応していると述べている。またKaspersky Labは、「c:\windows\infpub.dat」および「C:\Windows\cscc.dat」のパスを持つファイルの実行をブロックすることで、このマルウェアへの感染を避けることができると述べている。

【実際の攻撃事例】

ロシアや欧州、日本で大規模なサイバー攻撃が発生

2017.10.25 10:45更新http://www.sankei.com/world/news/171025/wor1710250021-n1.html

 ロイター通信など欧米メディアは平成291024日、大規模なサイバー攻撃が同日、ロシアや欧州、日本で確認されたと報じた。被害の大半はロシアに集中、ウクライナのほか、ブルガリア、トルコ、ドイツにも被害が広がった。日本国内の詳しい被害は不明。
 ロシアのインタファクス通信で一時的にシステムが停止したほか、ウクライナのオデッサ国際空港では航空便に遅延が生じた。
 ロイターなどによると、一連の攻撃に使用されたマルウエア(不正なソフトウエア)の名称は、「バッドラビット(悪いうさぎ)」。コンピューターのデータを使えなくし、復旧の対価に金銭を要求する身代金要求型ウイルス(ランサムウエア)の一種。被害者は、仮想通貨「ビットコイン」で約275ドル相当(約3万円)を支払うよう指示されたという。米紙ウォールストリート・ジャーナル(電子版)によると、米国でも被害が発生しているもよう。米国土安全保障省は24日、「身代金」を支払わないよう警告を出した。 
 サイバーセキュリティーに詳しい専門家によると、バッドラビットは、今年5月に世界各国で発生し、約30万件の被害をもたらしたマルウエア(不正なソフトウエア)と類似している可能性もあるという。

ロシアなどで大規模サイバー攻撃


ロシアやウクライナで、公共交通機関や大手メディアを狙った大規模なサイバー攻撃があり、専門家はことし5月に世界各地で被害が出た、コンピューターを使えなくして感染者に金を要求する、いわゆる「身代金要求型のウイルス」が使われているとして注意を呼びかけています。
ロシアのメディアなどによりますと、平成291024日、ロシアの大手通信社、インターファクス通信のサイトがサイバー攻撃を受けて記事の配信などができなくなったほか、ウクライナでも、首都キエフの地下鉄や南部オデッサの空港がサイバー攻撃を受け、このうち空港では乗客の搭乗手続きを手作業で行わざるを得なくなり、空の便に遅れが出ました。

このほか、ブルガリアやドイツ、トルコでも被害が確認されています。

今回のサイバー攻撃についてイスラエルの情報セキュリティ企業は、ウイルスに感染した人のコンピューターを使えないようにして金を要求する、いわゆる「身代金要求型のウイルス」が使われていると分析しています。

今回のウイルスは「悪いうさぎ」を意味する「バッド・ラビット」と名乗り、金の支払いは捜査機関の追跡を受けにくい特別なサイト「ダークネット」に誘導しているのが特徴です。

ことし5月には、同じ身代金要求型のウイルス「ワナクライ」が日本を含む世界各地に被害を及ぼしていて、専門家はウイルス対策ソフトを最新版に更新するなど、注意を呼びかけています。

ウイルスは「バッド・ラビット」

今回のサイバー攻撃についてイスラエルの情報セキュリティ企業は、感染者に金を要求する新種の「身代金要求型のウイルス」が使われていて、ウイルスは「悪いうさぎ」を意味する「バッド・ラビット」と名乗っているということです。

イスラエルの情報セキュリティ企業「ケラ社」は、スタッフのほとんどが、イスラエルのサイバー部隊の出身者で、日本やアメリカの企業向けにインターネットの安全情報を提供しています。

ケラ社の専門家は今回のサイバー攻撃について「いずれかの国家が関与した形跡は無く、国際的なサイバー犯罪グループによる金目当ての犯行と見られる」と分析しています。

ケラ社の専門家によりますと、犯行グループは、まず、ロシアの通信社など知名度のあるサイトを乗っ取り、アクセスした人に対し、有名な動画再生ソフトの名前を語って知らないうちにウイルスをダウンロードするよう仕向けているということで、いったんダウンロードしてしまうと、ウイルスに感染し、コンピューターは使えない状態に陥ります。

次に犯行グループは、コンピューターを再び使えるようにする条件として、日本円にしておよそ3万円相当を仮想通貨で支払うよう要求してきます。この際、誘導される支払いサイトは「www」や「http」で始まらない、「ダークネット」と呼ばれる特別なサイトで、専門家は捜査機関の追跡を受けにくくするためだと見ています。

専門家は「被害を防ぐにはウイルス対策ソフトを最新版に更新する必要がある。万が一、感染しても金の支払いには応じず専門機関に相談することが重要だ」と話しています。


【今だ続くランサムウェアWannacryの脅威】

ランサムウエアをなめてはいけない、本当の恐ろしさ
 パソコンに保存されたファイルを暗号化するなどしてユーザーを脅迫するランサムウエア。「お金を払えば復元できるなら、そんなに怖くない」――。そんな印象を持っている人もいるだろう。
 だが、ランサムウエアは怖い。今までのウイルスが実現できなかった、「一般のユーザーから広くお金を奪う」というスキームを確立したからだ。

愉快犯から金銭目的に

 2000年ごろまで、ウイルス作者はいわゆる愉快犯だった。ウイルスをできるだけ多くのパソコンに感染させて、大騒ぎになるのを楽しむ。
 メールで感染を広げる「マスメーラー」ウイルスや、ソフトウエアの脆弱性を突いてネットワーク経由で感染を広げる「ワーム」ウイルスは、ウイルスをばらまくのには打って付けだった。
 その後、ウイルス感染をお金にするスキームが現れる。感染パソコンを遠隔から操作できるようにするウイルス「ボット」である。ボットを使ってパソコンから個人情報を盗み出し、アンダーグラウンドのWebサイトで売りさばく。
 だが、相次ぐ情報漏洩により供給過多に陥り、個人情報の値段は低下の一途をたどっている。例えば、あるアンダーグラウンドサイトでは、18億件のYahoo!アカウントが、わずか400ドルで売りに出されていたという。
 そこで攻撃者の一部は、高値で売れることが期待できる、企業の機密情報に目を付けた。特定の企業を狙い、カスタマイズしたウイルスを使って攻撃を仕掛ける。いわゆる標的型攻撃だ。マスを狙った攻撃から、特定の標的を狙う攻撃にシフトした。
 だが、標的型攻撃は誰にでもできるものではない。コストがかかるため、ある程度のリソースを持つ攻撃者あるいは攻撃者集団でないと実施できない。“一般の攻撃者”が、ウイルスでお金をもうけるのは難しい状況だった。


その状況を一変させる可能性を秘めているのが、ランサムウエアだ。ランサムウエアなら、一般ユーザーから広く金銭を奪える。感染させればさせるほど高額になるので、今までお金もうけに使いにくかったワームと相性がいい。
 実際、20175月に出現して被害をもたらしたランサムウエア「WannaCry」は、Windowsの脆弱性を突いて感染を広げるワームだった。

ランサムウエア「WannaCry」の感染挙動

 攻撃者は、ランサムウエアをばらまくだけばらまいて待っていれば、ビットコインが振り込まれてくるという次第だ。
 近年は、ワームが爆発的に感染を広げることはなかった。その一因は、金銭が目的の攻撃者はワームを使わなかったためだと考えられる。だが今後は、ランサムウエアの機能を持つワームが増えると予想される。
 このため今まで以上に、「ソフトウエアの脆弱性の解消」「ファイアウオールなどによる境界防御」「セキュリティが不十分なノートパソコンの社内LANへの持ち込み禁止」――といったワーム対策の徹底を図ることが重要だ。

新たな手口で脅威増すランサムウエア、次なる標的
増加する一方のランサムウエアの脅威。その手口も“進化”している。その一つが、新しい脅し方の出現だ。
 ランサムウエアは、ファイルを暗号化したり、パソコンを起動させなくしたりして利用不能にし、元に戻したければ金銭を支払うよう要求するのが常套手段だ。このため、ファイルを適切にバックアップしておくことが対策となる。

“恥ずかしい写真”が友人全員に送られる

 だが、バックアップしても意味がないランサムウエアが20177月に確認された。Androidスマートフォン(スマホ)に感染する「LeakerLocker」と名付けられたランサムウエアだ。LeakerLockerはファイルを暗号化しない。その代わり、スマホから盗み出した写真などを友人に送りつけると脅す。

ランサムウエア「LeakerLocker」の挙動

 LeakerLockerをインストールしようとすると、様々なアクセス許可をユーザーに求めてくる。例えば、連絡先や写真、メール/SMSへのアクセスや電話発信などの許可を求められる。
 ユーザーがこれらのアクセス許可を与えてLeakerLockerをインストールしてしまうと、LeakerLockerを起動したときスマホの画面がロックされて操作できなくなる。その裏でLeakerLockerは、スマホに保存されている写真やメールなどを盗み出すという。
 そして“脅迫画面”が表示され、クレジットカードで50ドルを支払うよう要求。72時間以内に支払わないと、スマホに保存されている写真やメール、通話履歴などを、連絡先に登録されている全メールアドレスに送りつけると脅す。
 脅迫画面が表示された時点で、“ゆすりのネタ”は奪われているので、バックアップをとっていても意味がない。

エアコンのコントローラーで脅迫

 ターゲットもパソコンやスマホにとどまらない。次のターゲットは、導入が進んでいるIoT機器になる可能性が高い。
 例えば20168月、英国のセキュリティベンダーの研究者は、エアコンのコントローラーに感染して脅迫するランサムウエアの実証コードを作成してデモを実施した。


 ここでのコントローラーとは、室内のエアコンの温度を調整する機器を指す。サーモスタットとも呼ばれる。対象となったコントローラーはLinuxベースで、液晶画面を備えている。液晶画面には設定画面が表示される。壁紙やスクリーンセーバーも表示できるという。
 このとき作成されたランサムウエアの実証コードは、サーモスタットの画面をロックして操作不能にし、脅迫画面を表示。そして、エアコンの設定温度を、攻撃者が指定した温度にする。理論上は、摂氏0度から99度まで設定できるという。

ランサムウエアの実証コードが表示する画面
(出所:英Pen Test Partners

支払い方法も変わる?

 身代金の支払い方法も“進化”する可能性が高い。近年の支払い方法は、仮想通貨ビットコインだ。匿名性の高いビットコインが普及したことで、ランサムウエアが急増している。
 ただ、いくら普及しているといっても、ITに詳しくない人にはまだまだ難しい。知らない人も多いだろう。最近のランサムウエアは、脅迫画面で支払方法を“親切に”案内しているものの、「身代金を払いたいのに払えない」被害者は少なくない。

ランサムウエア「WannaCry」が表示する画面

 そこで今後増えると思われるのが、Amazonギフト券のようなプリペイドカードによる支払いを指定するランサムウエアだ。
 警察庁によれば、振り込め詐欺といった特殊詐欺の支払いでプリペイドカードが使われるケースが急増しているという。2016年上半期は480件だったのが、2017年上半期は1507件と3倍以上になっている。

 コンビニなどで購入できるプリペイドカードは、カード番号(暗証番号)さえわかれば、チャージされている金額を利用できる。メールなどで伝えやすいのでサイバー犯罪で利用しやすい。今後、ランサムウエアの支払いに使われるようになる可能性が高い。 

0 件のコメント:

コメントを投稿