ウイルス検知を回避する手法「Dopperganging」を使うランサムウェアが登場

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2018-05-09 13:36

 「Doppelganging」と呼ばれる、アンチウイルスソリューションの検知を回避する高度なテクニックを利用した最初のランサムウェアが発見された。

 米国時間5月8日、Kaspersky Labのセキュリティ専門家は、公開したセキュリティ情報の中で、この回避テクニックを使用するランサムウェア「SynAck」の亜種が出回っていることを明らかにした。

 SynAckの存在は以前から知られていた。このランサムウェアが発見されたのは2017年で、一般的なランサムウェアとは異なる特徴をいくつか持っている。「感染し、ファイルを暗号化し、復号化の鍵を渡す見返りに金銭を要求する」という点ではほかのランサムウェアと同じだが、SynAckは支払用のポータルを使用しない。

 その代わり、電子メールかBitMessage IDを介した身代金の支払い(通常はビットコイン)を要求する。身代金の要求額は、多いときには3000ドル(約33万円)にもなる。

 このマルウェアはこれまで特別なものではなかったが、Doppelgangingのテクニックを利用する亜種が登場したことで、専門家が注目することになった。

 「Process Doppelganging」は、2017年12月に開催された「Black Hat Europe」で、enSiloの研究者によって発表されたテクニックだ

 この攻撃手法はMicrosoftの「Windows」を標的とするもので、Windowsがファイルトランザクションを処理する方法を悪用することで、従来のセキュリティソフトウェアやアンチウイルスソリューションの検知を回避するよう設計されている。

 Kaspersky Labsの研究者らによれば、SynAckはDoppelgangingを利用するだけでなく、実行時に仮想マシン、Officeソフトウェア、バックアップシステムなどを停止させようとするという。

 「これは、実行中のプロセスによって使用されている貴重なファイルにアクセスできるようにすることが目的かもしれない」と研究者らは述べている。

 さらにSynAckは、コンパイルの前に厳重に難読化された上に暗号化されており、リバースエンジニアリングに手間が掛かるようになっている。

 新型SynAckによる攻撃は、これまでに米国、クウェート、ドイツ、イランで確認されている。

 Kaspersky Labは、このランサムウェアは標的型であると考えており、感染したマシンが、ハードコーディングされた国と言語のリストに該当するかどうかをチェックする仕組みを持っているという。

 被害を受けたマシンが対象リスト中の国以外に置かれているものだった場合、ファイルの暗号化は行われず、マルウェアはそのまま終了する。

 Kaspersky LabのリードマルウェアアナリストAnton Ivanov氏は、「幸い、このランサムウェアの検出ロジックは、世の中に出回る前にすでに実装されていた」と述べている

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]