狡猾なランサムウェアLocky、米病院を襲う

米国の病院が、新たなランサムウェアLockyに感染しました。院内の全PCの電源を切って、FBIとともに感染状況を確認しています。

locky-ransomware-featured

世界各国の医療関係者そして患者の皆様、ご注意あれ…サイバー犯罪者が新たなメンバーを迎えたようです。このランサムウェアは、登場してまだ1か月と若いながらも、すでに米国の2つの病院でファイルを暗号化して「人質」にとり、17,000ドルもの利益を上げています。

Lockyという名前が与えられたこの「赤ん坊」は、誕生直後からその名を世界中に知られるところとなりました。なぜか?ロサンゼルスのHollywood Presbyterian Medical Centerの医療記録に感染したからです(英語記事)。そう、使い物にならなくなった医療記録を取り戻すため、結局17,000ドルを支払ったあの病院です(英語記事)。

新たに被害者となったのはケンタッキー州ヘンダーソンにあるMethodist Hospital、217床の救急病院です。感染を食い止めるため、同院はネットワーク内の全PCの電源をオフにせざるをえませんでした。同院の管理者はFBIと協力し、デバイスの感染状況を1台ずつ確認する作業を続けています。一部のデータは、バックアップから復旧できる見込みです。先ほどの病院に対する攻撃とは異なり、身代金の要求額はわずか1,600ドルでした。しかし、Methodist Hospitalの担当者は、最悪の場合は要求に応じると述べています。

ケンタッキー州でのLockyの「冒険」は、いつものように1通のメールから始まりました。ある金曜日、同院の職員がスパムメールを受信し、添付ファイルを開きました。このために、犯罪者のサーバーからLockyがダウンロードされ、病院のネットワークに入り込んだのです。このトロイの木馬はデバイス上の全データを瞬く間にコピーして暗号化した後、元のデータを削除しました。同時に、Lockyは院内ネットワーク内で感染を広げ始め、院側はPC全台の電源をオフにしなければLockyを阻止できない事態となりました。

最初のうち、Lockyはdocファイルを介して配布されていました。docファイルには、リモートサーバーからLockyをダウンロードする不正スクリプトが仕込まれていました。犯罪者は後に戦術を変え、サーバーからトロイの木馬をダウンロードして起動するJavaスクリプト入りのzipアーカイブを利用するようになりました。スパムメールの大半は英語のメールでしたが、2か国語が併記されているものもありました。

Kaspersky Security Networkのデータによると、Lockyの攻撃対象は主にドイツ、フランス、クウェート、インド、南アフリカ、米国、イタリア、スペイン、メキシコのネット利用者です。現在把握している限り、ロシアとCIS諸国はLockyと無縁のようです。

Lockyは、実に興味深いトロイの木馬です。標的ごとに詳細な情報を集めますが、これはランサムウェアとしては非常に珍しいふるまいです。この熱心さの背景には、犯罪者が得るであろう金銭利益があります。つまり、集めた情報から暗号化したファイルの価値を判定し、身代金の額を個別に設定して、大きな利益を得ようというのです。

Lockyが医療機関を攻撃するためだけに作られた可能性は低そうです。セキュリティ専門家は、大量のデータを必要とする人であれば誰でも標的となりうると確信しています。たとえば弁護士、医療従事者、そして建築家などが挙げられるでしょう(英語記事)。

なお、カスペルスキー製品は各種モジュールによる多層防御を採用しており、さまざまなレベルでユーザーをLockyから保護します。

  • アンチスパム – サイバー犯罪者が送ってくる、悪意あるメールを検知します。
  • メールアンチウイルスおよびファイルアンチウイルス – 製品に組み込まれたこれらのモジュールは、ダウンロードスクリプトを検知すると、警告を表示します。カスペルスキー製品はこうしたスクリプトを「Trojan-Downloader.MSWord.Agent」「Trojan-Downloader.JS.Agent」「HEUR:Trojan-Downloader.Script.Generic」の検知名で検知・ブロックします。
  • ファイルアンチウイルス – Lockyの実行ファイルを「Trojan-Ransom.Win32.Locky」として検知し、警告を表示します。
  • システムウォッチャー – Lockyランサムウェアの未知のサンプルも「PDM:Trojan.Win32.Generic」として検知し、警告を表示します。さらに、ハードディスク上のファイルが暗号化されるのを阻止するため、ランサムウェアはデータを人質に身代金を要求することができません。※カスペルスキー インターネット セキュリティカスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)の機能
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?