危険なランサムウェア「CryptoLocker」とは
「CryptoLocker」は、「身代金要求型不正プログラム(ランサムウェア)」の中でも2013年に登場した最新版であり、このランサムウェアに感染すると、感染したPCへのユーザからのアクセスがブロックされ、さらにPC内の特定ファイルも暗号化されて、ユーザからは開くことができなくなります。
特に今回の事例では、ダウンローダの「TROJ_UPATRE」や、ボットネット「ZeuS」に関連する不正プログラム「ZBOT」によるスパムメール送信活動において、その最終的な不正活動として「CryptoLocker」の亜種が使用されていることを「TrendLabs(トレンドラボ)」は確認しました。感染したユーザーは、PC内のファイルが暗号化される(開くことができなくなり「人質」にとられる)だけでなく、オンライン銀行の認証情報も窃取されます。
「CryptoLocker」が確認されてから、その感染数は増加しています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」で収集されたデータの30日分も確認して見ても、ほぼ3分の2(64%)が米国における感染であり、さらに英国およびカナダでそれぞれ全体の11%および6%を占めています。
「CryptoLocker」はどのようにしてPCに侵入するのですか。
この脅威は、不正なファイルが添付されたスパムメッセージから始まります。添付された不正ファイルは、トレンドマイクロでは「TROJ_UPATRE.VNA」として検出対応しています。ユーザーがこの添付ファイルを実行すると、この「TROJ_UPATRE.VNA」により “cjkienn.exe” がダウンロード・実行されます。ダウンロード・実行されるファイルはZBOTの亜種であり、「TSPY_ZBOT.VNA」として検出対応しています。
オンライン銀行の認証情報窃取という不正活動の他、この「TSPY_ZBOT.VNA」は、感染したPC上に「CryptoLocker」の亜種をダウンロードし、この亜種が最終的な不正活動を行ないます。トレンドマイクロではこの亜種を「TROJ_CRILOCK.NS」として検出対応しています。
なお、「CryptoLocker」の新しい亜種としては、USBを介したワーム感染活動を行ない、ランダムに生成されたドメインではなくコマンド&コントロール(C&C)サーバに接続して不正活動を行うランサムウェアも確認されており、トレンドマイクロでは「WORM_CRILOCK.A」として検出対応しています。こちらに関しては、このブログ記事をご参照ください。
「CryptoLocker」が実行されると何が起きるのですか。
「CryptoLocker」は、実行されると、暗号化に使用される「公開鍵」をダウンロードするため、ランダムに生成されたドメインに接続します。生成されるドメインの拡張子は、以下のとおりです。
- biz/home
- co.uk/home
- com/home
- info/home
- net/home
- org/home
- ru/home
そして「CryptoLocker」は、暗号化の対象となる特定拡張子のファイルを検索します。この際、「.doc」や「.docx」、「xls」、「.pdf」、その他、ユーザが業務を行う上で重要な文書に使用されるファイルが対象となります(これらのファイルを対象にした暗号化の詳細に関しては後述します)。
さらに「CryptoLocker」は、感染したPCの壁紙を変更し、PC内の重要な文書が暗号化されたことをユーザに通知します。
こうして「CryptoLocker」は、暗号化されたファイルを「人質」にとり、これらのファイルを解読して再びユーザーへアクセス可能にするため300米ドル(2014年1月7日時点31,323円) もしくは300ユーロ(2014年1月7日時点42,668円)で解読のための「秘密鍵」を購入をするよう、「ランサム(身代金)」を請求します。
暗号化ではどのような手法が使用されますか。
「CryptoLocker」がユーザーのファイルを暗号化する手法は注目に値します。その手法とは、「AES-265」および「RSA暗号」であり、これにより、感染したPCのユーザは、「秘密鍵」を購入するしか解読の手立てがないようにします。トレンドラボの解析によると、暗号化は、以下の手順で実行されます。
「RSA公開鍵」は、それに対応する「RSA秘密鍵」のみで解読可能です。「AES鍵」は、この「RSA暗号」により隠ぺいされており、「RSA秘密鍵」の入手は不可能となっています。このため、「人質にとられたファイル」の解読は、現時点では完全に不可能となります。
「CryptoLocker」は、ユーザーにどのような被害を及ぼしますか。
この脅威の被害を受けたユーザーは、「CryptoLocker」の暗号化のため、PC内のファイルを開くことができなくなります。感染したPC内に業務上重要な文書等が含まれている場合、業務に深刻な支障をきたすだけでなく、重要情報の損失という事態も招くことになります。
今回言及した「CryptoLocker」の亜種が不正プログラム「ZBOT」の亜種にもたらされるという事実は、この「ZBOT」の不正活動もユーザーへの被害となることを意味します。「ZBOT」の亜種は、オンライン銀行の認証情報などを窃取するため、窃取された情報が不正取引に悪用されることで、ユーザは、深刻な金銭的被害に見舞われる可能性もあります。
トレンドマイクロ製品は、この脅威を防ぐことができますか。
弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」により「脅威情報の収集」および「脅威の特定・分析」が行なわれており、今回の脅威に関連した不正プログラムがPC内に存在する場合、それらの検出・駆除に貢献します。中でも、「Webレピュテーション」技術は、今回の脅威に関連する不正なドメインを検知してそこへのアクセスをブロックします。これにより、「CryptoLocker」が不正サイトへアクセスできず、ファイルの暗号化に際して必要な「公開鍵」のダウンロードを阻止することができます。「Emailレピュテーション」技術は、今回の脅威に関連するスパムメールをブロックします。とりわけ、「Trend Micro Email Reputation Services Advanced」はリアルタイムブラックリストを保持し、スパムメールが企業に到達する前に、IP接続のレベルでメールをブロックします。これは、スパムメールがネットワークに侵入してから管理するアプリケーションベースのソリューションに比べて優れた点です。
さらに、トレンドマイクロの製品に搭載された「挙動監視機能」は、「CryptoLocker」の感染状況を監視します。この機能の設定等の詳細については、弊社のサポートページをご確認ください。
この脅威の感染を防ぐため、ユーザ側で必要な注意事項は何ですか。
Eメールの取り扱いに細心の注意を払うこと。受信するすべてのEメール、特に発信元が不明の場合は注意が必要です。こうした注意は、ユーザー側で受信したEメールについて調べたり、送信者とされる相手と直接やりとりして本人がどうか確認したりすることで可能です。
Eメールの本文中のリンクは安易にクリックしないこと。「メール内のリンクはクリックしない」と最初から決めておいた方がよいでしょう。どうしてもクリックする必要がある場合は、ご使用のブラウザがWebレピュテーションを使用しているか事前に確認しておくことです。さらなる予防措置としては、「Trend Micro Site Safety Center」のような無料サービスを利用してWebサイトの評価を確認しておくことも有効です。
文書をバックアップしておくこと。被害を最小限に抑えるためにも、ユーザー自身による文書のバックアップは不可欠です。この場合、いわゆる「3-2-1」というルールが参考になります。つまり、バックアップは最低3つのコピーを取っておき、その内の2は別々の媒体に保存しておき、さらに1つは物理的に別の場所に保存しておくことです。「SafeSync」のようなクラウドストレージサービスが役に立ちます。
定期的にソフトウェアをアップデートすること。ソフトウェアの脆弱性を突く「CryptoLocker」やランサムウェアは発見されていませんが、ご使用のソフトウェアはすべて最新のセキュリティーバッチで最新化しておくことです。一般的にソフトウェアの更新はオンライン上の脅威に対してのさらなる防御となります。
セキュリティソフトをインストールすること。信頼できるウイルス対策製品やソリューションを使用することで、多くの脅威に対してそれらが不正活動を開始する前に検出することができます。トレンドマイクロが提供する製品やソリューションは、スパムメールによるもたらされる不正プログラムに対しても、それらがユーザのメールボックスに届く前にブロックすることが可能です。
企業や組織の場合、Eメールの添付等に関する方針を見直し、不審な添付ファイルをしっかりと防御ための方針を実施する必要があります。また、社員に対しては、Eメールを介した実行ファイルの送信をしないように促すことも有効です。
企業や組織で実践可能はもう1つの対策としては、社員が使用しているPC(特に社内的に重要な業務で使用されるPC)に対して一定の制限を設けることです。これにより、社員側で不正なアプリケーション等が実行されるリスクを軽減させることができます。
暗号化されたファイルを開くために必要な「秘密鍵」は、サイバー犯罪者を介してのみ入手可能のため、ユーザーは、300米ドルもしくは300ユーロ相当の「秘密鍵」を支払うしかないと思いがちです。しかしそうした行為は、多くのサイバー犯罪者にこの不正活動を継続させるだけであり、彼らの活動拡大を助長しかねません。