前回の2016年予測の中で取り上げた「ランサムウェア」。攻撃者にとって収益性が高いため、2016年も継続した攻撃が続き、これまでにないプラットフォームにも被害は広がるだろうと予測しました。今回は、実際に今年に入っても世間を賑やかしているランサムウェアとその対策について深堀りしていきます。
ランサムウェアとは
ランサムウェアはマルウェアの1種で、感染したコンピュータ上のファイルやデータの暗号化などによりユーザーのアクセスを制限します。その制限を解除するために、攻撃者が金銭を要求することから、身代金ウイルスとも呼ばれています。ランサムウェア自体は古くからある攻撃手法でしたが、近年になってビットコインに代表される仮想通貨の普及により、身代金を要求しやすい手段が整ってきたのが攻撃増加の要因といえます。
また前回の予測の通り、2016年に入ってランサムウェア自体も進化を遂げています。これまで確認できなかったMac OS Xで動作するものや、標的型攻撃のような複雑な攻撃方法を用いるものなど、より多様な環境を狙ったりターゲットを絞ったりするランサムウェアが確認され、消費者だけではなく、企業や組織もこれまで以上に注意を払う必要が出てきています。
Mac OS Xにもランサムウェア
ここでは、新しいプラットフォームに浸食するランサムウェアとして、この3月に発見されたMax OS Xで動作するランサムウェアについて簡単に紹介します。
まず前提として、Mac OS Xのアプリケーションは、Mac App Storeからのダウンロードだけでなく、一般的なインターネット上のサイトからもインストールすることが可能です。Mac App StoreではAppleで審査されたものが提供されるため、安全性が高いと言えます。一方、それ以外からのダウンロードでは、Appleから認められた開発者のアプリケーションかどうかを、Mac OS Xのセキュリティ機能である「Gatekeeper」にて開発者ID(デベロッパID)を 照らし合わせることで対策できます。
今回発見されたランサムウェアは、OS X用のBitTorrentクライアントの1つである「Transmission」のインストーラが侵害されていました。有効な開発者IDがデジタル署名されていたため、Gatekeeperをすり抜けることが可能であり、ユーザーは懸念を抱くことなくマルウェアに感染してしまった可能性があります。
Transmissionのダウンロードサイト
感染したKeRangerは、3日間待機した後に匿名通信システム「Tor」経由で外部へC&Cの通信を開始し、特定のドキュメントとデータファイルを暗号して、データへのアクセスを制限します。そして、ユーザーは仮想通貨で1ビットコイン(400ドル程度)をデータ復旧の身代金として要求されます。今回の攻撃では使われなかったものの、Macのデータバックアップ方法であるTime Machineのファイルの暗号化を企てていることが想定されるコードも見つかりました。暗号化が実現するとデータ復旧が妨害され、より深刻な被害を招くことが予想されます。
Windows以外を狙うランサムウェアが確認され、さらに海外では既に増加傾向であったスマートフォンを狙うランサムウェアについても、2016年に入り日本語に対応した攻撃が見つかっています。このように、あらゆるプラットフォームにおいてランサムウェアへ警戒する必要が出てきています。