自己拡散能力を持つランサムウェア「ZCryptor」

2016年に入って急拡大したランサムウェアの脅威。今度は、ファイルの暗号化と自己拡散という、ランサムウェアとワームの特徴を兼ね備えたハイブリッドが発見されました。

zcryptor-featured

2016年はランサムウェアが大いに勢いづいた年である。これはアナリストとリサーチャーの共通見解です。サイバー空間で犯罪行為に及ぶ者たちが暗号化機能を持つマルウェアの潜在的価値を見いだすまでに、大して時間はかかりませんでした。ランサムウェアはこうして、サイバー攻撃の駒の1つとなったのです。Ciscoが発表した2015年のレポート(英語記事)によると、Anglerエクスプロイトキットだけで年間6,000万ドル、月平均500万ドルもの利益をサイバー犯罪者にもたらしています。この数字から、「うま味」の大きさをおわかりいただけるでしょう。

近ごろランサムウェア市場で名前のよく挙がるPetyaそのお供のMischa、そして遠い親戚のLockyは、現時点で100か国以上のユーザーを食い物にしています。ハッカーたちは、価値あるデータを持つ企業や組織へと関心を向け始めていて、米国内の数多くの病院がランサムウェア攻撃の標的となったのは記憶に新しいところです。

ワーム的なランサムウェア

できるだけ手っ取り早く、できるだけ多くのお金を稼ごうと、サイバー犯罪者たちはランサムウェアの拡散手段を探っています。悪意ある添付ファイルやリンクを含むスパムメールは今でも健在ですが、以前ほどの成果は得られません。サイバー脅威がメディアで取り上げられるようになったため、人々は賢くなり、一般的な手口について詳しくなっているからです。

一方で、Webブラウザーやアンチウイルス製品も大きな進歩を遂げ、悪意あるURLやマルウェアが仕込まれたスパムを検知して阻止する機能を搭載しました。これを受けてサイバー犯罪者側は、マルウェアを「無差別」にばらまくという常套手段を徐々に使わなくなってきました。今、彼らが目を向けつつあるのは、かつて効果的な手口として広く使われていた手段、昔ながらのワームです。

研究者の間では、ランサムウェアが次なる段階へと進化し、自己増殖するマルウェア(ワーム)とランサムウェアの両方の特徴を兼ね備えた「クリプトワーム」とでもいうものが登場すると予測されています(英語記事)。両者をいいとこ取りしたクリプトワームは、感染したコンピューターを介して自身のコピーを拡散し、効率的にファイルを暗号化して身代金を請求する能力を持つマルウェアです。

この種のマルウェアとして初めて発見されたのが、SamSamです(英語記事)。このマルウェアは、数多くの企業ネットワークに忍び込み、侵入したネットワーク上のコンピューターだけでなく、バックアップコピーが保存されたクラウドストレージにまで感染の手を広げました。

ZCryptor

先ごろ、Microsoftは ZCryptorと呼ばれる新たなクリプトワームを検知しました(英語記事)。特徴的なのは、このランサムウェアがファイルを暗号化する機能と、悪意あるスパムやエクスプロイトを使わずに他のコンピューターやネットワークデバイスへ自己拡散する能力を兼ね備えていることです。

ZCryptorは最初の標的に感染する場合、一般的な手口を使います。たとえば、広く利用されているプログラム(Adobe Flashなど)のインストーラーになりすます、Microsoft Officeファイルの悪意あるマクロとしてシステムに侵入する、といった手口です。

ひとたびシステムに侵入すると、ZCryptorは、他のコンピューターへ感染を拡げられるように外付けドライブやUSBメモリに感染し、続いてファイルの暗号化を開始します。ZCryptorが暗号化の対象とするファイル形式は、80種類以上(120種類とも)にのぼります。暗号化したファイルの拡張子は、.zcryptに変えられます。

その後の展開はご存知のとおりです。ファイルが暗号化されたこと、身代金と引き換えに復号することを伝えるHTMLページが表示されます。身代金は1.2 Bitcoin(約650ドル)で、4日以内に支払わないと5 Bitcoin(2,500ドル以上)に膨れ上がります。

残念ながら、ファイルを復号し、感染したユーザーが身代金を支払わずに済む方法は見つかっていません。今のところ、感染しないよう細心の注意を払うしかありません。

ZCryptorから身を守るためのヒント

ZCryptorの被害に遭わないためには、以下の基本的な対策を実践しましょう。

  • OSとソフトウェアを定期的にアップデートする。攻撃の隙を与える脆弱性を修正することで、ネットワークを渡り歩くクリプトワームにつけ込まれるのを阻止します。
  • 用心を怠らず、疑わしいWebサイトには行かないようにする。また、怪しい送信元から届いた添付ファイルを開かない。原則として、セキュリティの基本ルールを守りましょう。
  • Microsoft Wordのマクロを無効にする。マルウェアを仕掛ける手段として、マクロが復活しつつあります。
  • 定期的にファイルのバックアップをとり、バックアップコピーを外付けドライブに保管し、そのドライブをPCから外しておく。ランサムウェアの感染を防止する方法ではありませんが、データを確実に保護できます。大切なデータが手元に残っていれば、身代金を支払う理由はありません。
  • 信頼できるセキュリティ製品を使用する。カスペルスキー インターネット セキュリティカスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)は、ZCryptorを検知名「Trojan-Ransom.MSIL.Geograph」として検知・ブロックします。
ヒント