日々変化するラムサムウェア
従来のランサムウェアに関しても、LockyやSamsa、TeslaCyptなどの新しいファミリが毎週のように発見され、膨大な数の亜種が確認されるとともに、1つのランサムウェアファミリの中でも日々進化が起きています。
例えば、Lockyはこの2月から確認され始めた新しいランサムウェアです。現在、1500以上の亜種が存在し、多数のC&Cサーバがあり、日本国内でもLockyの存在が確認されています。Lockyの侵入経路にはメールとウェブがあります。
当初はランサムウェアをダウンロードするマクロが仕込まれたMicrosoft Officeが確認されていましたが、悪意のあるJavaScriptをメールで送信するタイプも確認されるようになりました。加えて、ウェブ閲覧をするユーザーに対して、エクスプロイトキットを使って感染させる方法や一般的な静的分析ツールでの検出を回避する機能が盛り込まれている形跡も確認されています。
Lockyの存在が認められた国(パロアルトネットワークスの脅威インテリジェンスサービスより)
Samsaは2015年12月から確認されたランサムウェアです。上記のLockyの例のようにばら撒き型ではなく、情報漏えいを狙った標的型攻撃のような複雑なステップでの攻撃が確認されています。具体的には、企業や組織のネットワークに不正アクセスを行った後に、攻撃対象のホストを見つけ、管理者ユーティリティを使ってランサムウェアに送り込むという攻撃手法をとり、大規模で深刻な感染を招く恐れがあります。
またLockyとSamsaは、この4カ月間にもさまざまな変更が加えられていることも確認されています。例えば、コードの隠蔽や暗号化するファイル拡張子の変更、支払い用ウェブサイトの変更、身代金要求額の変更などがあります。
特にSamsaは多額の身代金を一括要求する他のランサムウェアには見られない要求方法をとっていましたが、一時期は感染端末あたりの要求になり、現在は一括要求に戻っています。このことから攻撃者がより効率よく稼ぐ方法を模索していることが想像されます。実際、Samsaにより支払われたお金は7万ドルとも11万ドルとも言われています。
これら2つのランサムウェアファミリの変化から読み取れることは、他のサイバー攻撃と同様にランサムウェアも進化を続け、それらに対応できるセキュリティが求められているということです。
【ランサムウェアの持つ危険性】
- さまざまな侵入経路
- 多様な新種や亜種
- 攻撃の秘匿化
- 標的型同様の複雑かつ大規模な攻撃
