Cryptolocker に関する Q&A: 今年最大の脅威
サイバー犯罪者はいつでも、マルウェアを進化させる方法を探っています。ウイルス対策をめぐる研究や解析、対策が進み、ユーザー意識が向上したためマルウェアの威力が薄れ、拡散も鈍っていることから、進化が生存の鍵となっているからです。ランサムウェアは、この数年間でメディアに大きく取り上げられた結果、知らぬ間に犠牲になるユーザーが減り、その影響力や効果も半減するとともに、犯罪者にとって費用対効果も下がってきました。
このようにユーザー意識が高まった結果、2013 年最後の四半期にはサイバー犯罪の世界に新たな脅迫の手口が生まれました。それが Cryptolocker です。Cryptolocker は、貴重なデータを失うかもしれないという、ユーザーにとって最大の不安を突くことで広がっています。以前のランサムウェアはオペレーティングシステムをロックしてデータファイルを人質に取るものの、たいていは回復が可能でした。ところが、Cryptolocker は脅迫がもっと効果的になっており、攻撃者が持つ秘密鍵を使わない限り、ロックされたファイルを取り戻すことはできません。
以下の Q&A では、Cryptolocker と、それに対するシマンテックの保護対策についての概略をお伝えします。
Q: Ransomlock と Cryptolocker(別名 Ransomcrypt)の違いは何ですか?
Ransomlock と Cryptolocker の違いは、一般的に Ransomlock がコンピュータ画面をロックするのに対して、Cryptolocker は個々のファイルを暗号化してロックするという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。
Q: この脅威が発見されたのはいつですか?
Cryptolocker の被害が初めて確認されたのは、2013 年 9 月です。
Q: Cryptolocker は新しい脅威グループに属するものですか?
いいえ。侵入先のシステムでファイルを暗号化して身代金を要求する類似のマルウェアグループとして、シマンテックはこれまでにも Trojan.Gpcoder(2005 年 5 月)や Trojan.Ransomcrypt(2009 年 6 月)などを検出しています。
Q: Cryptolocker の重大度はどのくらいですか?
重大度は「高」です。万一 Cryptolocker によってファイルを暗号化され、そのファイルをバックアップしていなかった場合には、まず復元することはできません。
Q: Cryptolocker に感染しているかどうかを確認するにはどうすればよいですか?
感染した場合には、次のような身代金要求画面が表示されます。
図 1. Cryptolocker の身代金要求画面
Q: この脅威にはどのように感染しますか?
ソーシャルエンジニアリングの手口を使ったスパムメールを被害者に送りつけ、添付されている zip ファイルを開かせようと試みます。
図 2. Cryptolocker スパムメールの例
電子メールに添付されている zip ファイルを開くと、実行可能ファイルが含まれていますが、これは電子メールの内容に合わせて請求書に見せかけたり、別のソーシャルエンジニアリング手法で偽装されたりしています。この実行可能ファイルは Downloader.Upatre で、Trojan.Zbot をダウンロードします。Trojan.Zbot に感染すると、Downloader.Upatre は感染したシステムにさらに Trojan.Cryptolocker もダウンロードします。次に Trojan.Cryptolocker は、組み込みのドメイン生成アルゴリズム(DGA)を利用してコマンド & コントロール(C&C)サーバーに接続しようとします。アクティブな C&C サーバーが見つかると、感染したシステムでファイルを暗号化する際に使われる公開鍵がダウンロードされますが、それに対応する秘密鍵(ファイルの復号に必要です)はサイバー犯罪者のサーバーに残されたままです。秘密鍵はサイバー犯罪者の手の内に残り、定期的に変更される C&C サーバーにアクセスしない限り使用することはできません。
図 3. Cryptolocker の攻撃手順
Q: シマンテックは Cryptolocker や関連するマルウェアに対する保護対策を提供していますか?
はい。シマンテックは、この脅威に対して以下の検出定義を提供しています。
| 検出名 | 検出タイプ |
| Downloader | ウイルス対策シグネチャ |
| Downloader.Upatre | ウイルス対策シグネチャ |
| Trojan.Zbot | ウイルス対策シグネチャ |
| Trojan.Cryptolocker | ウイルス対策シグネチャ |
| Trojan.Cryptolocker!g1 | ヒューリスティック検出 |
| Trojan.Cryptolocker!g2 | ヒューリスティック検出 |
| Trojan.Cryptolocker!g3 | ヒューリスティック検出 |
| System Infected: Trojan.Cryptolocker | 侵入防止シグネチャ |
Symantec.Cloud サービスをお使いのお客様は、このマルウェアの拡散に使われているスパムメッセージからも保護されています。
このマルウェアを検出する以前の検出定義は、一部名前が変更されています。
- 2013 年 11 月 13 日以前のウイルス定義では、このマルウェアは Trojan.Ransomcrypt.F として検出されていました。
- 2013 年 11 月 14 日以前の侵入防止シグネチャ(IPS)では、「System Infected: Trojan.Ransomcrypt.F」として検出されていました。
Q: C&C サーバーはどのような形式ですか?
DGA で生成される最近のコマンド & コントロール(C&C)サーバーの例を以下に示します。
- kstattdnfujtl.info/home/
- yuwspfhfnjmkxts.biz/home/
- nqktirfigqfyow.org/home/
Cryptolocker はアクティブな C&C サーバーを検索するときに、見かけの類似したドメイン名を 1 日当たり 1,000 件まで生成できます。
Q: Cryptolocker はどのくらい高度ですか?
Cryptolocker 攻撃は、スパムメールとソーシャルエンジニアリングでお馴染みの手法を用いて感染を試みますが、Cryptolocker 自体も以下のように高度な技術を駆使しています。
- Cryptolocker は、メルセンヌツイスタ擬似乱数生成機能に基づいた DGA を採用し、アクティブな C&C サーバーを探します。
Q: この脅威の感染状況はどうですか?
この脅威に対するシマンテックの遠隔測定によると、現在は米国で多く感染が確認されています。報告されている件数は少ないものの、被害者にとって被害は深刻です。
図 4. 検出が報告された上位 5 カ国
Q: これまでにシマンテックはこれらの攻撃に関する情報を公開していますか?
はい。シマンテックは以下のブログを公開しています。
Q: 身代金の支払いに応じるべきですか?
いいえ。けっして身代金を払ってはいけません。サイバー犯罪者への支払いに応じると、さらにマルウェアによる攻撃を助長することになります。また、仮に支払っても、ファイルが復号される保証はありません。
Q: Cryptolocker 攻撃の背後にいるのは誰ですか?
Cryptolocker 攻撃の背後にいるサイバー犯罪者については、調査が進められているところです。
Q: この攻撃の影響を受けたファイルの復元方法についてアドバイスはありますか?
はい。シマンテックテクニカルサポートが以下の記事を公開しています。
Q: 被害を受けないようにするにはどうすればいいですか?
まず、情報セキュリティに関するベストプラクティスに従って、ファイルは常にバックアップしてください。また、最新のウイルス定義対策とソフトウェアパッチを使って、システムを常に最新の状態に保ち、疑わしい迷惑メールは開かないようにしてください。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
Q: シマンテックはバックアップおよびディザスタリカバリソフトウェアを提供していますか?
はい。シマンテックは、Backup Exec ファミリー製品を提供しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
