ウェブページを閲覧するだけで、ユーザーの使用しているコンピュータにランサムウェアをインストールするという新手のマルウェアが、コンテンツ管理システム(CMS)「WordPress」を使用しているウェブサイトだけでなく、「Joomla」を使用しているウェブサイトでも確認された。この攻撃ベクタの拡大は、マルウェアの不穏な進化を象徴している。
Rackspaceのセキュリティ研究者であり、Internet Storm CenterのコントリビューターでもあるBrad Duncan氏によると、「admedia」と名付けられたこの攻撃キャンペーンは従来の標的であったWordPressから、脆弱性を抱えたJoomlaへと拡大してきているという。
Securi Labsは1月、「WordPress使用サイトでの感染事例が急増」し、ウェブサイト上のJavaScript(.js)ファイルが改変されているという事実を公表した。一連の状況を分析した結果、JavaScriptに感染する「admedia iframe injection」というこのマルウェアは、複数のバックドアをインストールするだけでなく、感染したWordPressサイト上に悪意のあるadmediaドメインを生成し、そこを経由することでユーザーに悟られないよう、「TeslaCrypt」というランサムウェアが組み込まれたエクスプロイトキットサーバにアクセスさせるという事実が明らかになった。
- TechRepublic Japanオススメ記事
- アンチウイルスソフトは死んだのか--セキュリティベンダー座談会(1)
- 重要なのは侵入された後の対応--セキュリティベンダー座談会(2)
- CSIRT/SOCだけでは意味がない--セキュリティベンダー座談会(3)
ランサムウェアは、マルウェアのなかで特にたちが悪く、壊滅的な打撃を及ぼす可能性もある。こういったマルウェアには「WinLocker」やTeslaCrypt、「CoinVault」など、さまざまな種類があるが、いずれもユーザーから金銭を巻き上げようとするという共通点がある。
ランサムウェアはいったんユーザーのPCに感染すると(たいていの場合はフィッシングキャンペーンや悪意のあるダウンロードサイトによる)、PCをロックし、ファイルを暗号化した後、ユーザーコンテンツを復号するための鍵との引き替えとして、仮想通貨での身代金支払いを要求する。
サイバーセキュリティを手がける企業は無料でファイルを復号化するソフトウェアを開発しようと取り組んでいるが、マルウェアの頻繁なアップデートとともに、さまざまな系列のマルウェアの恒常的な進化、拡散という現状の前に苦戦している。
TeslaCryptというランサムウェアは今や、脆弱性を抱えたWordPressを使用しているサイトだけではなく、Joomlaを使用しているサイトでも見つかっている。Duncan氏が先週語ったところによると、2016年初めに公表された最初のレポートでは、エクスプロイトキットが格納されたサーバへの橋渡しをするURL(ゲート)の中に「admedia」という文字列が使われていると報告されていたものの、その後「megaadvertize」という文字列も使用されるようになり、ランサムウェアを保持するエクスプロイトキットも一部のケースでは「Nuclear Exploit Kit」(Nuclear EK)から「Angler Exploit Kit」(Angler EK)に切り替えられているという。