編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

ランサムウェア「RAA」が進化、企業が標的に

Danny Palmer (ZDNet.com) 翻訳校正: 編集部

2016-09-15 11:21

 ランサムウェア「RAA」の新バージョンが発見された。マシンがオフラインでもマルウェアをインストールし、暗号をかけるといった新しいテクニックを備え、より効果的に標的とする企業を攻撃できるようになっている。RAAランサムウェアは2016年7月に初めて報告されたが、ランサムウェアは急速に進化している。そして、Kaspersky Labのサイバーセキュリティ研究者が新しい変種を報告した。

 このランサムウェアは、これまでのバージョンと同様に電子メールで拡散するが、新たにパスワード保護されたZIP形式の添付ファイルに悪意のあるコードが隠されるようになった。これにより、ウイルス対策ソフトウェアの検出を免れようという意図だ。セキュリティプログラムは、保護されたアーカイブのコンテンツを適切にチェックすることが容易ではないためだ。

 さらに最新のRAAは、一般ユーザーよりも企業を標的とするようになった。これは恐らく、企業を狙った方がより大きな利益を得られる可能性があるためだ。電子メールにはサプライヤーへの支払い期限を過ぎた延滞金に関する情報が含まれており、マルウェア作成者は「セキュリティのため」に不正な支払い要求についての情報をZIPファイルで隠しているとしている。電子メールに追加的なセキュリティ対策がとられていると示唆することで、ユーザーは容易にだまされてRAAをインストールするプロセスを開始する可能性がある。

 感染プロセスはこれまでのバージョンと同様のようだ。ユーザーが悪意のある.jsファイルを実行するとランサムウェアのインストールが始まる。インストール中は、ユーザーの注意をそらすよう、ランダムな文字セットを含む偽のテキストドキュメントを表示する。その後身代金の要求を表示し、暗号化されたファイルには.lockedという拡張子が付与される。

 さらに新バージョンのRAAは、C&Cサーバとやりとりせずに被害者のPCでファイルの暗号化を行うことができるようになった。これまでのようにC&Cサーバからのマスターキーを要求する必要はなく、RAAが感染したマシンで独自のキーを生成する。つまり、RAAはインターネットに接続されたマシンに加えて、オフラインのマシンを感染させることが可能になる。

 また、このランサムウェアのペイロードは「Pony Trojan」を配信する。Ponyは、企業のものを含むすべての電子メールクライアントからパスワードを盗むことが可能なマルウェアだ。企業の機密情報を入手することで、感染したユーザーの名でマルウェアを拡散させ、電子メールが正当なものであると被害者に容易に思い込ませることも可能になる恐れがある。このマルウェアは、被害者の企業の電子メールから、すべての取引先の連絡先に拡散され、マルウェア開発者はそこから標的型攻撃を実行することも可能になるかもしれない。また、機密情報をダークウェブでほかのハッカーに売ることも考えられる。

 ほかのランサムウェアと同様に、ハッカーはファイルを復号させることと引き換えに身代金を要求する。このマルウェアは現在、主にロシア語を使用するユーザーを標的としているが、すぐに世界的に拡散する恐れもあるだろう。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]