恐怖のランサムウェア、CryptoLocker

単なる脅しではなく本当にデータを暗号化してしまう、厄介なマルウェアが広がっています。

CryptoLocker

一般的に言ってランサムウェアは、この世で最もたちの悪いマルウェアというわけではありません。しかし新しい変種である「CryptoLocker」はとてもやっかいです。ランサムウェアはふつう「強力な暗号を使ってあなたのコンピューターの中身を暗号化した」と主張するに過ぎませんが、CryptoLockerは実際にそれをやってのけるのです。

よくご存じない方のために説明すると、ランサムウェアとはマルウェアの一種で、コンピューターに入り込むと、そのコンピューターを暗号化した、またはその他の方法でロックしたと表示します。そして感染したユーザーに、ファイルのロックを解除するには「身代金」を支払わなければならないと通知します。言うまでもないことですが、身代金を支払ったからといってロックが解除される保証はまったくありません。むしろ身代金を支払っても何も起こらず、マルウェアを開発したりまき散らしたりしている悪者の財布がふくらむだけでしょう。

Kaspersky Dailyではたくさんの恐ろしい脅威について紹介してきました。興味をそそられるものや、ニュースでその恐ろしさが話題になったものなどです。私たちは脅威がどのように作用するか、その実体は何かを説明したいと考えており、通常は、なぜ心配するに及ばないかについても説明しています。今回はそのケースには当てはまりません。CryptoLockerはあなたのコンピューターに入っているデータの重要度(およびバックアップの状況)に応じて、週、月、または年単位のデータに損害をもたらすことになりかねない脅威です。ですから、少なくとも多少は心配しておく必要があります。

このマルウェアに感染し、身代金を支払ったものの復号キーが送られてこなかったという人がいますが、驚くには当たりません。ただし、このマルウェアを使った攻撃者のグループが復号キーの配布を始めたという報道もあります。

現時点でCrypoLockerを使用した攻撃を広めているグループは複数あるようです。私は先月Threatpost.comで、そのような攻撃の1つについて書きました。このマルウェアは写真、動画、文書などを暗号化し、暗号化されたファイルの種類をリストにして、そのリストへのリンクを被害者に教えることすらあります。秘密鍵で保護されたRSA-2048暗号化が使われます。感染したコンピューターには3日間のカウントダウンの時計と、時間切れになると復号化用の秘密鍵が永久に削除され、暗号化されたファイルを復元できなくなるという警告が表示されます。

cryptolocker-wp

攻撃者は300ドルほどを身代金として要求します。支払い方法はBitcoinなどさまざまです。

このランサムウェアは、United States Computer Emergency Readiness Team(US-CERT)から勧告が出されたほど危険なものです。US-CERTは米国土安全保障省の一部門で、オンラインの脅威によってもたらされるリスクを分析し、軽減させるという基本タスクを担っています。US-CERTの勧告には、CryptoLockerの感染が拡大しているが、勧告の主な目的は感染者に身代金を払わないように促すことであると書かれていました。

ほとんどの場合、CryptoLockerはさまざまなフィッシング活動(正規の企業からのものである場合もあります)や、Federal ExpressまたはUPSの偽の追跡通知を介して広まっています。別のボットネットに感染した後にCryptoLockerが現れたという被害者もいます。Kaspersky Labのコスティン・ライウ(Costin Raiu)によると、CryptoLockerは主に米国と英国のユーザーをターゲットとしており、その次にインド、カナダ、オーストラリア、フランスのユーザーが狙われているようです。

CryptoLockerはあなたのコンピューターに入っているデータの重要度(およびバックアップの状況)に応じて、週、月、または年単位のデータに損害をもたらすことになりかねない脅威です。ですから、少なくとも多少は心配しておく必要があります

CryptoLockerの中には、ローカルのファイルだけではなく、USBメモリなどのリムーバブルメディア、外付けハードディスク、ネットワークファイル共有、一部のクラウドストレージサービス(ローカルフォルダーとオンラインストレージを同期できるもの)のような場所に保存されているファイルにも影響を及ぼすものがあると言われています。CryptoLockerはあるコンピューターからネットワーク内の別のコンピューターへ移動する場合があるため、感染したらコンピューターをすぐにネットワークから切り離すようにとUS-CERTは警告しています。

セキュリティジャーナリストとして有名なブライアン・クレブス(Brian Krebs)氏が先日伝えたところによると、CryptoLockerの攻撃者は72時間のデッドラインを緩めており、その理由は身代金を支払おうとしても、BitcoinやMoneyPakの使い方が分からずに時間切れになってしまうユーザーがいるためと考えられるようです。カウントダウンの時計は表示されたままですが、その時計で時間切れになったとしても復号キーは削除されません。その代わりに、支払わなければならない金額が最大10倍にまでつり上げられます。

クレブス氏の記事で言及されているBleepingComputer.comのマルウェアエキスパートであるローレンス・エイブラムス(Lawrence Abrams)氏は、多数の企業や個人ユーザーが身代金を支払うしかない状況に追い込まれていると述べています。私は身代金を支払うことには賛同できません。それが私の信念です。身代金を支払ってしまったら、攻撃者を喜ばせるだけです。今すぐに、そして定期的にコンピューターをバックアップし、外付けのバックアップドライブをコンピューターに接続したままにしないように注意しましょう。そうすれば感染しても、バックアップを使って復元できます。

アンチウイルス製品の機能が役立つこともありますが、クレブス氏のレポートによると、一部のアンチウイルス製品はファイルが暗号化されてしまってから感染を駆除するそうです。つまりユーザーは、もし身代金を支払おうと思ったとしてもそれができないということになります。おもしろいことに、CryptoLockerの作成者はシステムの壁紙を使ってユーザーにそれを知らせます。被害者が身代金を支払うつもりなのにアンチウイルス製品がマルウェアを駆除してしまった場合(ただしファイルの復号化はしない)、壁紙に書かれているリンクから、マルウェアの実行ファイルを自発的にダウンロードできる仕組みになっています。

カスペルスキー インターネット セキュリティ(カスペルスキー 2014 マルチプラットフォーム セキュリティのWindows対応プログラム)は、現存するCryptoLocker各種に対応しており、ユーザーのシステム上でそうしたマルウェアが実行するのを阻止します。

Adobeハッキングに見る不適切なパスワードの例10選

Adobeのサービスに登録している人は今すぐパスワードを変更しましょう。パスワードが盗まれてインターネット上に公開されてしまいました。流出したパスワードでクロスワードパズルを作った人までいるのです。今回の事件を機会に、どんなパスワードを使うべきでないかを詳しく見ていきましょう。 先日のAdobeの情報漏えいでは顧客のデータが盗まれました。その影響は長期にわたって続くはずです。当初Adobeはハッキングの影響を受けたユーザーを300万人としていました。しかしその後、漏えいしたデータベースに約1億5,000万件のレコードが含まれていたことが明らかになっています。さらに、保存されていたパスワードが十分に保護されておらず、ほとんどのケースで元の状態に復元できる可能性があるというのです。これを受けて、Facebookは影響を受けたユーザーに対し、AdobeとFacebookで同じパスワードを使用している場合はパスワードを変更するように求めました。 1つのパスワードを複数のオンラインサービスで使い回すというのは深刻なセキュリティ問題です。さらに、新しいパスワードを考えるときに、非常に多くのユーザーが同じような間違いをしてしまいます。Adobeのデータベースで多く使われているパスワードを最新の例として、このような間違いから学ぶべきことを紹介していきます。 1. 「password」「qwerty」「123456」 驚くべきことに、こうしたあからさまなパスワードがいまだに人気パスワードランキングの上位に君臨しています。Adobeのデータベースでは、「123456」が圧倒的第1位のパスワードであり、1億5,000万のユーザーのうち200万人以上が使用していました。第2位はこれよりずっと複雑なパスワードで、「123456789」の後ろに「password」という単語が付いています。「password」という単語をパスワードに選んだユーザーは345,000人。キーボード配列「qwerty」も人気が高く、第6位でした。 2. 会社名やサイト名、そのバリエーション ユーザー名が「John」で、パスワードが「Facebook」という人は自分以外にいないと思うかもしれませんが、そんなことはありません。もちろん、サービス名はハッカーがパスワード総当たり攻撃に使う辞書には載っていないでしょう。しかし、経験豊富なハッカーなら、こうしたパスワードを自分のデータベースに追加するはずです(Adobeの事件では実際にそうでした)。会社名やサービス名を使ったパスワードは、Adobeの上位100パスワードで4位、9位、15位、16位にランクインし、それぞれ「adobe123」「photoshop」「adobe1」「macromedia」でした。 3. ユーザー名とパスワードが同じ、など 他のプロバイダーは、保存するパスワードをAdobeよりもずっと適切に暗号化しているかもしれません。しかし、ハッカーがデータベース内の関連フィールドを見る(それも比較的簡単に)可能性は十分あります。ここで問題となるフィールドは、ユーザー名、メールアドレス、パスワードのヒントなど。パスワードを推測するうえで非常に重要な手がかりとなることがわかっています。一番痛いのはユーザー名とまったく同じパスワードですが、他の「ちょっとひねった」小技も似たようなものです。パスワードそのものをパスワードヒントのフィールドに入力する人もいれば、「1~6」「最後と最初」のように一目瞭然のヒントを書く人もいます。 4. 明らかな事実 Facebookはハッカーお気に入りのツールです。メールアドレスとユーザー名を使えば、とても簡単にFacebookを検索でき、「犬」「息子の名前」「誕生日」「仕事」「母親の旧姓」「好きなバンド」といったパスワードのヒントを見つけることができます。ヒントの約3分の1は家族やペットに関するもので、そのうち15%がパスワードを直接的に、あるいはほぼ直接的に示しています。 簡単に覚えられる文字と数字の組み合わせを思いついても、忘れてください。ハッキングにも都合がいいパスワードですし、パスワード辞書に登録されている可能姓が非常に高いからです 5. 単純な文字列 文字や数字の組み合わせは無限にあるように思えます。しかし、この無限の力は極めて限定的にしか使われていません。なんといっても、私たちの目の前には、アルファベットとキーボードという形で非常に強力な「ヒント」が提示されているのですから。そんなわけで、「abc123」「00000」「123321」「asdfgh」「1q2w3e4r」といったパスワードが生まれるのでした。簡単に覚えられる文字と数字の組み合わせを思いついても、忘れてください。ハッキングにも都合がいいパスワードですし、パスワード辞書に登録されている可能性が非常に高いからです。 6. 一般的な単語 さまざまな研究によって、パスワードの3分の1から2分の1は辞書に載っている簡単な単語であり、その言語で頻繁に使われる上位10,000語に入っていることがわかりました。最近のコンピューターは1秒間に10,000のパスワードを試すことができるため、そのようなパスワードはまったく役に立ちません。Adobeの顧客データベースには以下のようなパスワードが数多く含まれていました。 「sunshine」「monkey」「shadow」「princess」「dragon」「welcome」「jesus」「sex」「god」 7. わかりやすい変更 ほとんどのサービスは、辞書を使った総当たり攻撃を困難にするために、特定のルールに基づいてパスワードを設定するように求めています。たとえば、「6文字以上、大文字と小文字、数字、記号を必ず入れる」というルールです。以前も書いたように、こうした対策は時代遅れであり、今となっては考え直す必要がありますが、これら要件をうまいこと満たす方法がすでに定着しています。一番よくあるのが最初の文字だけを大文字にするというケースで、数字を使った変更として多いのは、パスワードの最後に「1」を付けるというパターンです。Adobeのデータベースでは、このような回避策がわかりやすい単語と組み合わされていて、「adobe1」や「password1」など、非常にぜい弱なパスワードが作成されていました。よく使われる記号は「!」と「_」です。   8. わかりやすい変更2(1337) 「ハッカー」映画などのポップカルチャー作品のおかげで、今では「ハッカー語」(LEET、1337)が広く知られるようになりました。ハッカー語とは、一部の文字を形が似た数字や記号に置き換えるといった簡単な変更を行う表記法です。こういった文字の置き換えは良いアイデアに思えますし、「H4X0R」や「$1NGL3」というパスワードは強力そうですが、残念ながら「hacker」や「single」のような簡単なパスワードとあまり複雑さは変わりません。なぜなら、特別なパスワード総当たり攻撃アプリには、いわゆるミューテーション(変形)エンジンが搭載されていて、わかりやすい変更を辞書の単語と1つ1つ照らし合わせてみるからです。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?