改ざんされたWebサイトがランサムウェアを拡散
2016年7月19日、ビジネス関連のWebサイトが相次いで改ざんされ、閲覧者にランサムウェアを拡散していると、セキュリティ企業Invincea社が報告しました。接着剤メーカーDunlop Adhesives社や、グアテマラの公式観光サイト、その他の正規Webサイトが影響を受けました。
これらのWebサイトは、ボットネット「SoakSoak」の脆弱性攻撃により改ざんされたか、脆弱もしくは未修正のコンテンツマネージメントシステム(CMS)を探索する類似の自動化攻撃により改ざんされたようです。これらの改ざんされたWebサイトを閲覧すると、ユーザは暗号化型ランサムウェア「CryptXXX」がインストールされる不正なWebサイトへ誘導されます。「CryptXXX」は、2016年4月に初めて確認されたランサムウェアファミリで、仮想環境で実行されないなど、マルウェア解析への対策機能を備え、検出も回避できます。
ボットネット「SoakSoak」は、閲覧者を別のサイトへ誘導するスクリプトを追加し、攻撃対象のWebサイトに脆弱性が存在するかを特定します。このスクリプトは、閲覧者をエクスプロイトキット「Neutrino」がホストされたWebサイトへ誘導します。このエクスプロイトキットは「市販の不正プログラム作成ツール」としてアンダーグランド市場で販売されています。
最近の事例では、エクスプロイトキット「Neutrino」は、攻撃対象のPCにセキュリティソフトやAdobe Flash Playerのデバッグ・ユーティリティが存在するかも確認していました。Invincea社のブログ記事によると、これらのプログラムの存在が確認されなかった場合、コマンドシェルが開かれ、スクリプト実行環境「Windows Script Host」のWindows ユーティリティにアクセスされます。そしてコマンド&コントロール(C&C)サーバからランサムウェアがダウンロードされます。
■正規サイトを狙う攻撃キャンペーン
攻撃者はこれまでも、「malvertisement(不正広告)」やその他の多数の手法を利用してWebサイトを改ざんし、ユーザをエクスプロイトキットへ誘導してきました。改ざんされたWebサイトは、エクスプロイトコードが含まれた別のWebサイトへユーザを誘導することで被害を与えます。多くの場合、攻撃対象のWebサイトは、未修正で脆弱なCMSのソフトウェアがサーバに使用されているため、容易に改ざんされました。
トレンドマイクロは2015年11月、ランサムウェアを拡散する攻撃キャンペーン「ElTest」を報告しました。この攻撃キャンペーンは、エクスプロイトキット「Angler EK」を利用し、改ざんされた Webサイトの閲覧者にランサムウェアをもたらしていました。この攻撃キャンペーンでは1,500以上の Webサイトが改ざんされ、同様に暗号化型ランサムウェア「Cryptesla」(トレンドマイクロの製品では「RANSOM_CRYPTESLA.YYSIX」として検出)を拡散していました。この攻撃キャンペーンでは通常、改ざんされた Webサイトのページに SWFオブジェクトを追加し、SWFオブジェクトにより別の Flashファイルを読み込まれ、iframeタグを密かに組み込まれます。そしてこのiframeタグによりユーザをエクスプロイトキットへ誘導します。
脆弱なWebサイトを狙った攻撃キャンペーンは「ElTest」だけではありません。「WordPress」や「Joomla」、「Drupal」など、よく知られた CMS で運営される Webサイトを狙った他の攻撃キャンペーンも確認されています。改ざんされたサイトは、自身のシステムもしくはサードパーティのアドオンが未修正で脆弱なバージョンのままで運営されていました。
[参考: Joomla and WordPress Sites under Constant Attack from Botnets(英語情報)]
■標的にされやすい脆弱性を抱えたCMS
CMSは、過去数年で大きく進化しています。現在のCMSプラットフォームは、個人ユーザや企業がデジタルコンテンツ公開に使用できる多機能で直感的なインターフェースを提供しています。企業はCMSプラットフォームを採用し、こうしたデジタルコンテンツ配信システムの利便性を生かそうとしています。特にWebサイトのコンテンツを早急に変更したり、社員の共同作業をサポートしたり、閲覧者向けにコンテンツをカスタマイズしたりする際に重宝します。
ただし残念ながら、こうしたCMSプラットフォームは、プラグインやテーマ、アドオン拡張機能など、サード・パーティによる膨大な数のコンポーネントにより、セキュリティ上の欠陥やサイバー攻撃の影響が受けやすくなります。これらが要因となり、攻撃者はWebサイトを狙って比較的簡単に改ざんすることが可能となり、潜在的にも膨大な数のWebサイト運営者が影響を受けます。サイバー犯罪者は、よく知られた人気のWebサイトに狙いを定めて手早く見返りを得ようとします。最近の事例でも分かるように、CMSで運営されたWebサイトの未修正で脆弱なコンポーネントを狙って改ざんすることでこうした攻撃が試みられます。
■リスクを軽減するには
Webサイトの運営者は、こうした攻撃から自身のサイトを守るために、WordPressやその他CMSを最新バージョンに更新し、既知の脆弱性への対処を確実にすることを推奨します。この更新は通常、WordPressのダッシュボートで完了できます。トレンドマイクロの統合型サーバセキュリティソリューション「Trend Micro Deep Security™」は、未修正の脆弱性を保護するWebアプリケーション保護機能および侵入検知・防止(ホスト型IDS/IPS)機能を搭載したネットワークセキュリティや、各サーバの周辺にカスタマイズ可能な保護層を設定するファイアウォール機能により不正プログラム対策を提供します。また、ファイルやシステムの整合性を監視する変更監視やセキュリティログ監視機能といったシステムセキュリティを提供し重要なセキュリティイベントを特定してレポートを生成します。エンドポイントを保護するために、「Trend Micro Virtual Patch for Endpoint(旧Trend Micro 脆弱性対策オプション)」は、パッチが適用される前に既知および未知の脆弱性攻撃をブロックします。侵入防御機能により既知の脆弱性に対する攻撃から防御します。そしてネットワークの処理能力、業務、IT管理者の負荷を最小限にしつつエンドポイントや、OSおよびアプリケーションを保護します。
ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。