2016年6月27日、暗号型ランサムウェアの新たな亜種「ZEPTO」の急増が確認されました。この急増は、スパムメールキャンペーンに起因し、わずか4日間で少なくとも130,000のスパムメールが拡散しました。スパムメールには、ファイル命名法がソーシャルエンジニアリングの手口として利用されていました。また、「ZEPTO」は、暗号型ランサムウェア「LOCKY」との関連も指摘されています。「LOCKY」も、他の手法と共にスパムメールキャンペーンによる拡散で知られるランサムウェアファミリです。

セキュリティ企業「Cisco Talos」の報告によると、「ZEPTO」は、2016年6月27日からスパムメールキャンペーンに"swift <文字列>|<文字列>.js"のファイル命名法を利用しており、このソーシャル・エンジニアリング手法でユーザに添付ファイル開封を促します。添付ファイルは、ファイル名の「文字列」の箇所に受信者の氏名を用いて正規ファイルに見えるよう巧妙に作成されています。添付ファイルを開封すると、不正なJavaスクリプトがバックグランドで実行され、PC上のすべてのファイルが拡張子 ”zepto” で暗号化されます。

そして別の不正ファイルがダウンロード・実行されます。ダウンロードされたファイルも、ローカルファイルを暗号化し、ビットコインで身代金の支払いを要求するメッセージを表示します。この際、ユーザはHTMLファイルの指示画面や画像ファイルを受け取り、PCの背景や壁紙も変更されます。他のランサムウェアの侵入経路と異なり、「ZEPTO」は、広範囲のスパムメールキャンペーンを攻撃経路として効果的に活用することで猛威を振るっています。

■「LOCKY」との関連性

「ZEPTO」は、「スパムメールによる拡散」や「RSA暗号鍵による特定ファイルのロック」など、手法の点で「LOCKY」(トレンドマイクロの製品では「RANSOM_LOCKY.A」として検出)と類似しています。「LOCKY」は、2016年2月に確認されて以降、進化を続け一般ユーザと企業の双方を標的にしています。医療機関を狙って注目を集めた多くの攻撃でも利用されています。

【参考:How to defend against ransomware(英語情報)

「LOCKY」と関連したランサムウェアの新たな亜種が確認されたのは、今回が初めてではありません。最近確認されたランサムウェア「BART」(トレンドマイクロの製品では「RANSOM_BART.A」として検出)も「LOCKY」との関連が指摘されています。「BART」は、画像ファイルを装い、スパムメールを介して拡散します。また、「LOCKY」と同じくダウンローダ型不正プログラム「RockLoader」によりHTTPSのサイトからダウンロードされます。

セキュリティ企業「PhishMe」のブログによると、「BART」はコマンド&コントロール(C&C)サーバには接続せず、「ごく一般的なランサムウェア」と見なされているものの、シンプルさと効率性の点で際立っています。つまり、「C&Cサーバに依存しないこと」と、「ユーザからのファイルへのアクセス阻止の手法」の2点です。同ブログでも、このランサムウェアは、C&Cサーバに依存する代わりに「ランサムウェア自身がPCを識別し、ユーザに身代金を支払わせる復号アプリケーション作成に際し、どの復号鍵を使用すべきかが判断される」と述べられています。

「BART」は、他のほとんどの暗号化型ランサムウェアのファミリと異なり、暗号化にRSAなどの公開鍵を使用しません。代わりに、アーカイブ、音楽、画像、文書、データベース、動画など、特定拡張子のファイルを検索し、それらをZIPで圧縮しパスワードをかけてロックします。その際、"<元のファイル名>.<拡張子>.bart.zip"というファイル名を使用します。「BART」の背後にいるサイバー犯罪者は、身代金の支払いに「Decryptor Bart Page」という支払いサービスサイトのみを利用します。このサイトは、匿名通信システム「The Onion Router(Tor)」上にホストされています。このサイトでユーザは、ランサムウェアが生成した固有IDを提出し、身代金支払い後に復号ツールを受け取ります。脅迫状は、英語、スペイン語、イタリア語、フランス語、ドイツ語で用意されていますが、感染PCが英語のみの場合は、英語版がデフォルトで表示されます。支払が完了すると、システムで検知後、その旨がWebサイト上に表示されます。ビットコイン関連の確認を何度か経た後、ユーザは、このWebサイトから復号ツールをダウンロードできます。

高度な暗号化を利用せず、アーカイブファイルで保存しパスワードをかけてファイルをロックする手法はシンプルで効果的であり、「BART」は確かにユーザにとって脅威です。ただし洗練された手法ではなく、身代金を支払わなくても、広く使用されているパスワード解析ツールで開封することも可能でしょう。

■トレンドマイクロの対策

「ZEPTO」や「BART」といった「Locky」に類似したランサムウェアやその他のランサムウェアは、スパムメールによって拡散されることが知られており、スパムメールを介した侵入を防ぐ対策が必要です。不明な送信元からの添付ファイルは開封しないことを推奨します。添付ファイルにマクロを利用した手口に対しては、マクロ機能を無効化しておくことでリスクを軽減できます。

また、3-2-1ルールに従いバックアップを取ることによって、暗号化型ランサムウェアの被害を緩和することが可能です。

  • 3つ以上のコピーを保存
  • 2つの異なる種類の端末に保存(例:ハードドライブおよび USB)
  • そのうちの1つは他の2つとは異なる場所に保存(例:自宅とオフィス)

トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery? Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。