編集部からのお知らせ
新着記事まとめPDF「ランサムウェア」
注目の記事まとめPDF「Chrome OS」

マイクロソフト、「Royal」ランサムウェアのさまざまな配布手段について警告

Danny Palmer (ZDNet.com) 翻訳校正: 編集部

2022-11-22 12:23

 ランサムウェア攻撃とは標的のネットワークに侵入し、ファイル暗号化マルウェアを使ってファイルを暗号化した後、身代金の支払いを要求するというものだ。そういった攻撃を実施する上で一風変わったテクニックを用いる新たな活動が確認された。

キーボードに入力する手
提供:Getty Images

 「Royal」ランサムウェアが最初に登場したのは9月のことであり、複数の脅威グループによって拡散されている。しかしMicrosoftのセキュリティ脅威インテリジェンスチーム(MSTIC:Microsoft Security Threat Intelligence Team)によると、その中のあるグループは、ペイロードの配布と隠蔽(いんぺい)において「新機軸を生み出し続けている」という。これにより被害者は、ネットワークを暗号化されるまで侵入に気付かない場合もよくあるという。

 さまざまな手段で実行されるこの攻撃は、同社が暫定的に「DEV-0569」と呼んで追跡しているグループによるものとされており、このグループの出自や身元は依然として明らかになっていないという。

 Royalランサムウェアを用いたDEV-0569の攻撃キャンペーンでは、一般的なサイバー攻撃の手法も用いられている。それは、悪意のあるファイルが添付されたフィッシングメールであり、添付ファイルにはランサムウェアのペイロードをダウンロードするためのバックドアとして使われる「BATLOADER」マルウェアが仕掛けられている。

 Royalランサムウェアによる攻撃を仕掛けようとするこのグループが初期ペイロードを送り込むためのフィッシング手法はこれだけではない。同社は、DEV-0569が一般的によく利用されているビジネスアプリケーションの正規のインストーラー/アップデートを装ったリンクを記した電子メールを使用し、ペイロードを送り込んできている点についても言及している。こういった偽のアップデートをダウンロードすることで、マルウェアを送り込むためのバックドアがインストールされる。

 DEV-0569はこの他にも、問い合わせフォームを利用して標的にアクセスし、マルウェアを送り込むという一風変わったテクニックも用いている。もっとも、この手法によってランサムウェア攻撃を仕掛けるのはDEV-0569が初めてではない。とは言え、今のところ珍しい攻撃手法であるため、防御側で考慮されていない可能性もある。

 この攻撃者は国の財務機関を名乗り、標的となる組織のウェブサイトに設置されている問い合わせフォームからメッセージを送信してくる。標的がこのメッセージに応答した場合、攻撃者は返信し、標的をだましてBATLOADERをインストールするリンクをクリックさせようとする。

 この攻撃者は最近、「Google広告」も悪用しており、リンクをクリックしたユーザーやデバイスを追跡できるようにするマルバタイジング用のリンクを使ってマルウェアを送り込もうとしているという。こういったリンクはBATLOADERを送り込む潜在的な標的を洗い出すために用いられている。

 Microsoftは、こういった不正使用をGoogleに報告し、問題の認識と対応の検討を求めたと述べている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]