多目的型マルウェア：三つ首にもなるトロイの木馬

ランサムウェアはこれまでも十分に危険な脅威でしたが、転移性のあるものも現れました。急速に感染を拡げるだけでなく、二次的な活動を開始するタイプです。2016年2月に初めて実環境で見つかったランサムウェア、Cerberを例に見ていきましょう（英語記事）。

発見当時、Cerberはその薄気味悪さで知られていました。脅迫的なメッセージを画面に表示するだけでなく、音声でも身代金の「要求」を伝えるのです。ただし、手口はこれまでどおり「お金を払えばファイルを返す」というものでした。

2つめのペイロード

Cerberに限らず、近ごろのトロイの木馬は感染先コンピューター上のデータを暗号化するタイプが増え、「ランサムウェア」（身代金要求型マルウェア、とも）と呼ばれています。コンピューター利用者のほとんどは、ランサムウェアにどう対処すればいいのか、まったくわかっていません。当然、パニックに陥ります。これは、陽動作戦として使えそうではありませんか？

Cerberを配信するサイバー犯罪者も、同じことを考えたようです。Cerberの一部の変種は、高度な配信手法を持つスパム配信業者の力を借り、ここ数か月で大量に出回っています（英語記事）。しかもこの変種は、第2のペイロードを持っています。その目的は、感染したコンピューターを悪意あるボットネットに組み入れることです。

攻撃の流れを簡単に説明しましょう。まずCerberが、メールに添付されたファイルの形で到着します。このマルウェアは、実行されると、暗号化したファイルを元に戻す代わりにと金銭を要求します。ここまでは、他のランサムウェアと同様です。ところが、セキュリティリサーチャーが突き止めたところによると、Cerberはその後、感染したコンピューターのネット接続状況を確認し、そのコンピューターを他の目的で利用し始めます。たとえば、DDoS攻撃に利用する、スパムボットとして利用する、などです。

多目的型マルウェアの台頭

「Cerber」とは、多目的型マルウェアにふさわしい名前です。ギリシャ神話に登場する3つ頭の犬Cerberus（ケルベロス）と同じで、退治は簡単ではありません。だからこそ、サイバー犯罪者にとって魅力的な手段なのです。

2016年に確認された多目的型マルウェアのうち、Cerberは第1号ではありません。たとえばPetyaというランサムウェアは、ハードディスクドライブ全体を暗号化するのにユーザーから権限を承認してもらう必要がありましたが、その後は別のマルウェアMischaをインストール手順の中に組み込み、確実に感染できるようにしました。またCryptXXXは、通常のランサムウェアのペイロードに加え、情報やBitcoinを盗む機能を持っています。

ファイルを暗号化して拡張子を「.crypt」に変えてしまうランサムウェア、Cryptxxx。暗号化されてしまったファイルを復号するツールを、当社で無料公開しています。 https://t.co/CdHsy65cMt pic.twitter.com/bdAjE7zNFh

— カスペルスキー 公式 (@kaspersky_japan) May 10, 2016

ランサムウェアを使った犯罪は儲かります。それも、かなり。多様な要素を持ち合わせるランサムウェアが次々と現れる中、Cerberはその1つであるにすぎません。自分の身に及ぶ影響をできる限り避けるためにも、最新ニュースを常にチェックしましょう。

Cerberを回避するには

Cerberなどのマルウェアは、今後も拡散され続けることでしょう。ただ、拡散方法は、一般に知られた方法がほとんどです。Cerberの被害に遭う可能性を抑え、万が一遭遇した場合でも被害を最小限に収めるには、以下を参考にしてください。

1. すべてのメールに対して警戒を怠らないようにしましょう。明らかにスパムと思われるメールに書かれているリンクは、クリックしないでください。正規の業務メールや信頼している知人からのメールに見えるものでも、リンクを不用意にクリックしないようにしましょう。
2. ファイルをバックアップしましょう。繰り返し、定期的にバックアップしてください。
3. OSやアプリケーションのパッチが利用可能になったら、すぐに適用しましょう。パッチが適用されていない脆弱性を突くエクスプロイトは、マルウェアの侵入口として、スパムメール本文に書かれた不正リンクと同じくらい一般的に使われます。
4. カスペルスキー インターネット セキュリティ（カスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム）などのセキュリティ製品は、常に実行（有効化）し、アップデートがあればすぐに適用しましょう。ネットワークに繋がっているデバイスは、すべて保護が必要です。カスペルスキー製品では、Cerberを「Trojan-Ransom.Win32.Zerber」の検知名で検知・ブロックします。