ランサムウェア「Cerber」が進化、機械学習利用のセキュリティツールから検出回避--トレンドマイクロ

Danny Palmer (ZDNET.com) 翻訳校正: 編集部

2017-03-29 13:22

 最も普及している種類のランサムウェアの1つが、影響力を強め検出を困難にするための技術を進化させている。機械学習を利用して脅威を特定しようとするサイバーセキュリティツールによる検出を回避する機能だ。

ランサムウェア
提供:Check Point

 一部のセキュリティベンダーは、未知のマルウェア、そして警戒していない被害者にマルウェアを配信する手法を検出するために機械学習を利用している。

 ランサムウェアファミリの「Cerber」は、ファイル暗号化マルウェアの成功例として知られている。Cerberの作者は、少なくとも部分的には、収益の一部を得る代わりに使いたい人にコードを提供することで拡散に成功してきた。そして今、犯罪者らは新しい手口を使ってこの有利な状態を維持しようとしている。

 トレンドマイクロは、最新のCerberの変種が悪意あるフィッシング電子メールによって配信されていることを確認した。ユーザーにリンクをクリックしてファイルをダウンロードさせようとするのではなく、電子メールにDropboxへのリンクが含まれているという。このDropboxのアカウントは攻撃者が制御するもので、Cerberペイロードをダウンロードして自己解凍するアーカイブがアップロードされている。

 サイバーセキュリティ研究者らによる検出や監視を回避するために、このCerberの変種は仮想マシンあるいはサンドボックスで動いているのか、特定の分析ツールがこのマシンで動いているのかといったことを調べる。こうしたチェックに失敗したら、このマルウェアは動きを停止する。コードが解析されないことを重視するためだ。そのため、Cerberの背後にいる犯罪者はこの配信手法とローダーを再パッケージしている。

 自己解凍の仕組みを実装していることから、悪意のあるファイルを検出するために設計されたとトレンドマイクロの研究者らが述べる機械学習ツールにも、ファイルが悪意のあるものであると見られない可能性がある。

 「自己解凍ファイルやシンプルで単純なファイルは、静的な機械学習ファイル検出に問題をもたらす可能性がある。自己解凍型ファイルは内容に関係なく全て構造的に類似している。限定的な機能をもつ解凍されたバイナリも、悪意あるものと見えないことがある」と同社はブログで解説している。

 トレンドマイクロは、問題のあるDropboxのURLリストをDropboxのセキュリティチームに提供しており、これらのリンクはすでに機能しなくなっている。Dropboxは関連するアカウントをアクセス不能にしている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]