ばらまき型--ランサムウェア
年初の連載において予測したように、2016年はランサムウェアが世界中で爆発的に増加した年となりました。ランサムウェアの大半はスパムやエクスプロイトキットなどを使って大量にばらまかれ、感染端末を増やすことで支払う可能性がある被害者を増やす戦略をとっています。
また被害者が支払う際のハードルを少しでも下げるため、脅迫文を英語だけでなくさまざまな国の言語に翻訳しています。特に2016年2月に登場したランサムウェア「Locky」は日本でも大量の感染活動が確認され、早くから日本語化した脅迫文を使っていました。
Lockyによる日本語の脅迫文メッセージ
ランサムウェアは日々新しいファミリーや亜種が大量に発生していますが、使用されている技術は共通です。暗号化にはたいてい非対称暗号が使用されています。また被害者が身代金の支払いを行うためには、ダークウェブへのアクセスやビットコインでの支払いなど、匿名性が高いサービスを使って攻撃者の身元が明かされる可能性を極力抑えています。
また、アンダーグラウンドマーケットでは攻撃するためのツールも手に入ります。さらには、感染活動のためのスパムやエクスプロイトキットのレンタルや購入だけでなく、ランサムウェアそのものでさえ簡単に入手できるようになっています。
このように、匿名性が高く、高度な技術の習得も必要ないランサムウェアを使った脅迫ビジネスは今後も拡大し、2017年も大きな問題になると予測されます。
標的型攻撃--Elirks
組織のセキュリティ担当者は、不正送金用マルウェアやランサムウェアなどのばらまき型によるアラートを大量に目にした1年だったと思いますが、標的型攻撃もその中に紛れ込んでいた可能性があります。
2015年に大量の個人情報流出事件を引き起こすきっかけとなったEmdiviと同様、2016年は「Elirks」と呼ばれるマルウェアを悪用した標的型攻撃による被害が日本で複数報道されました。パロアルトネットワークスではElirksを使った攻撃を調査し、2011年ころから始まった日本や台湾に対する継続的な攻撃をMILE TEAと名付け、レポートを2016年9月に発表しました。
その後、11月にElirksが関与したとされる攻撃の被害にあったことを日本の組織が発表したことからも、攻撃者は日本をターゲットにして継続的に活動をおこなっていることがわかります。
Elirksを使った攻撃者は主にスピアフィッシングメールを使ってターゲットを感染させようと試みます。メールにはzipファイルなどが添付され、その中に含まれているWindows実行ファイルはユーザーを騙すためにフォルダアイコンを持っています。
フォルダアイコンをもつWindows実行ファイル
このファイルを実行後、マルウェアと共にインストールした無害のおとり文章を開くことでユーザーに不信感をもたれないようにしています。このおとり文章として航空券のEチケットなどが繰り返し使われていたことも判明しています。