「攻撃しやすく儲かる」ランサムウェアなどに向け、キヤノンITSがマルウェア解析サービスを開始。激化するサイバー攻撃対策の一環に

写真拡大

キヤノングループのセキュリティベンダーであるキヤノンITソリューションズ(キヤノンITS)が、ユーザーから依頼されたマルウェア(ウイルスなどの悪意的プログラム)の動作を解析、そのレポートを報告する、業務ユーザー向けサービス「マルウェア解析サービス」を開始します。サービス開始日は7月1日から、価格は1か月サービス(月あたり4検体まで、繰り越しなし)が35万円、スポット解析サービスが1検体10万円。

なお、4月27日に開催された発表会では合わせて日本における最新のマルウェア動向が紹介されましたが、その中では「ランサムウェア(身代金ウイルス)が流行しているのは、攻撃しやすく、追跡されにくく、儲かるから」という、非常に興味深い話もでています。こうした点に関して、続きで解説します。

【ギャラリー】キヤノンITS マルウェア解析サービス (42枚)



国内の最新マルウェア動向について語ったのは、キヤノンITS セキュリティソリューション事業部の長谷川智久氏です。なおキャノンITSは、スロバキアESET社のPC用セキュリティソフト『NOD32 アンチウイルス』の販売など、幅広いセキュリティ関連製品を手がけており、また社内にも独自の技術部隊を持つことなどでも知られます。

まずは現状の動向として、昨今被害が増えている代表的ランサムウェア「Win32/Filecoder.Locky」について基本的な動作を解説します。まずはランサムウェアについて紹介。「ファイルを被害者が復元できないように暗号化するなど、障害を意図的に発生させ、解決のための身代金を要求するマルウェア」としています。

Lockyは、ファイルベースで見ると2つのマルウェアが連携して動作するシステムとなっており、先に被害者の元に電子メールなどでJavaScriptファイル「JS/TrojanDownloader.Nemucod」が送られ、本体となるLockyはNemucodがダウンロードする。その後Lockyが動作し、ファイルを暗号化、被害者に対して脅迫文を表示する......という流れ。

今回例として紹介した理由は、2016年3月11日〜4月11日の1ヶ月間において、アンチウイルスソフトによるNemucodの検出例が非常に多いため。同社が販売しているESET製品で検出されたマルウェアのうち70%がNemucodだったとのこと。さらに、電子メールに添付されたマルウェアに絞り込むと82%にまで増加し、非常に高くなっています。

また、Nemucodの報告を国別集計とした場合、なんと52%が日本に集中しているというデータも。長谷川氏はこうしたデータから、「ランサムウェアの感染を狙う攻撃が多発しており、さらにNemucodは日本を主な標的としていることから、継続しての注意が必要」とまとめました。

続いて、他のマルウェアに比べ、なぜここまでランサムウェアが流行しているのかについて紹介。ここで出てきたのが、冒頭で紹介した「(攻撃側にとって)攻撃しやすく、追跡されにくく、儲かるから」というコメントです。

攻撃しやすいという点の要因として挙げたのは、まずクラウドサービスの普及。ともすれば不思議な印象もありますが、クラウドコンピューティングサービスの演算性能強化や、クラウドストレージサービスの大容量化が影響を及ぼしているとのこと。

次に挙げたのは、「RaaS」。これはなんと「Ransomware as a Service」の略語です。意味合いは、ファイルの提供のみならず、ファイルのダウンロードサーバーや拡散に使われるボットネット、暗号化に使われる暗号鍵の保管サーバーまでをセットにして――まさにSaaS(Software as a Service)の形態で――販売する市場があるということ。

こうした攻撃側にとっては至れり尽くせりのサービスにより、マルウェアの技術に精通していない初心者でも、ランサムウェアによる攻撃が可能になり、その結果流行しているのが実情というわけです。

長谷川氏は一例として、実際に販売がなされているサイトの画面を紹介。これはサーバー(サービス)の稼働状況や料金、対応する暗号化形式の表示や、メールによるサポート窓口まで用意されており、洗練されたものとなっていることがわかります。

続けて、追跡が困難という点に関しては、ビットコインをはじめとする仮想通貨の発達により、身代金の受け渡し追跡が難しくなった点と、被害者とのやりとりもTorなどの匿名ネットワークを活用するため、同じく追跡難度が上がる点を紹介。

そして儲かるという点に関しては、従来の標的型攻撃に対して短期間で目的が達成できる点(感染直後に目に見える被害を与えられることなどから)、そして投資対効果(ROI)が高いという点を挙げました。とくにROIに関しては、米セキュリティ企業「Trustwave」が2015年7月に公開したレポートで公開した1425%の数字を引用し、ランサムウェアや脆弱性攻撃(エクスプロイトキット)による攻撃は投資回収率が高い点を紹介しました。

さらに今後の動向としては、現在はWindowsが中心となっているターゲットOSの拡大、企業データベースをはじめとするより重要なデータへの標的変更などの「ターゲットの拡大」、暗号化の際に入手したファイルを時限付きでネットに公開するといった凶悪化やそれぞれの国に合わせた支払い方法の変更など「手口の巧妙化」、使用レジストリの不可読化や、先日起こった米国の病院に対する攻撃(下記記事を参照ください)など、より支払いやすい標的を選ぶといった「技術の高度化」がトピックとしています。

ハリウッドの病院がコンピュータウィルスに"院内感染"。全システムダウンで業務に支障、復旧の"身代金"は約4億円

コンピュータウィルスに"院内感染"の病院、ハッカーに約190万円を支払ってシステム復旧。患者の安全のため

このように(半ば当然ではありますが)、マルウェアの高度化は現在進行形で進んでいる状態。今回キヤノンITS側が、こうした高度化するランサムウェア、あるいは他のマルウェアに対する対策として打ち出したのが、今回発表されたマルウェア解析サービスというわけです。

実際には、ユーザーがファイルやURLの形で送付したマルウェアをキヤノンITSの技術者が解析。解析データを報告書の形でレポート提出してくれるというサービスとなります。

なおキヤノンITS側は、今回のサービスは基本的な動作のみの解析であり、高度な解析妨害処理が施されているマルウェアや詳細な挙動を解析する、いわゆる「詳細解析」ではない点と位置づけており、詳細サービスは将来的に提供したいとのコメントがありました。

報告書となる「マルウェア解析報告書」の内容は、Virus Totalデータベースなどと照合した仕様や基本的な動作などの概要、感染動作および外部のサーバーと通信する場合はその概要、書き換えられるレジストリや(ユーザー側で対応できる場合は)応急修復方法などといった内容。基本的な挙動に関しては一通り網羅されている印象です。

もちろん、攻撃を受けてしまった際に重要な、感染の確認方法や被害状況の調査方法といった情報も報告されています。
また依頼によって未知のマルウェアが発見された場合は「未知型であることが判明した時点でESETと連携を取り、NOD32をはじめとするESETのセキュリティ関連製品側も可能な限り速くアップデートで対応する」とのコメントもありました。

このように今回の解析サービスは、未知のマルウェアや情報の少ないマルウェアに攻撃される可能性の高い、比較的大手の企業が主なターゲットとなっています。そのためコンシューマーには直接的に縁が遠いものではありますが、一方で標的型攻撃が増えつつある昨今のマルウェアを効果的に対策するには、企業レベルで検体を解析できるこの種のサービス増加は欠かせません。
最初は標的範囲が企業などに限られていたマルウェアが亜種化によって標的範囲が広がり、コンシューマーにも大きな脅威となる可能性もあります。

結果としてこうしたサービスの広がりは、アンチウイルスソフトウェアの強化という面で、間接的にですがコンシューマーユーザーにも良い影響を与えるものと呼べるでしょう。