写真提供:マイナビニュース

写真拡大

●ダウンローダへの対策でランサムウェアのダウンロードをブロック
キヤノンITソリューションズはこのほど、2016年上期(1月-6月)の国内におけるマルウェアの動向に関する説明会を開催した。今回、ESETが提供している早期警告システム「ESET LiveGrid」によって、日本国内で検出したデータを基に行われた解析結果について解説が行われた。

キヤノンITソリューションズ マルウェアラボ推進課 石川堤一氏は、「2016年第2四半期のマルウェアの検知は、前四半期に対し40%増である」としたうえで、「日本を狙った暗号化型ランサムウェアの流行とダウンローダ『Nemucod』の量産化」「日本語文書を駆使したメール攻撃とクライムウェア(情報搾取型マルウェア)」という2つの特徴が見られたと述べた。

○暗号化型ランサムウェアの流行とダウンローダ「Nemucod」の量産化

今冬からランサムウェアの被害を伝える報道が増えており、今年上半期のセキュリティ分野のハイライトと言えば、ランサムウェアを思い浮かべる人も多いだろう。

石川氏は、今年2月に暗号化型ランサムウェア「Locky」の感染が国内で急増したが、現在もLockyの継続的な改良が繰り返されており、さまざまな影響をもたらしていると述べた。例えば、Lockyは複数の国の言語で身代金を要求する文書を表示するという報告がなされており、日本語による表示も確認されている。

また、Lockyは、感染の多くがダウンローダへの感染との組み合わせによるものという特徴を備える。一連の流れはこうだ。攻撃者が送信したメールに添付されたWordファイルを開くと、マクロ機能に組み込まれたダウンローダが活動を開始。ダウンローダはランサムウェア本体をダウンロードし、自動で実行する。ランサムウェアを実行すると、本格的な活動が始まり、暗号鍵を取得できると、データファイルの暗号化が開始されるといった具合だ。なお、環境によるが、これらの作業は数秒から数十秒で完了するという。

Lockyの攻撃に使われたダウンローダは、大きく分けて「VBAスクリプト」「Javaスクリプト」の2種類の言語で製作されている。2016年1月から7月20日までは、Javaスクリプトで作られたダウンローダが76%を占めている。Javaスクリプトで作られたダウンローダは生産性がよいことから増加傾向にあり、中でも「Nemucod」は連日改良されたものが配信されているとのことだ。

石川氏は、このNemucodに対し、ESET製品で対策を行ったことで検出が増え、効果を発揮したことを紹介した。具体的には、ESETはNemucodのコーディングから特徴や特性を抽出して、ヒューリスティック検出技術に組み入れ、3月31日のウイルス定義配信より、包括的な危険性のあるJavaスクリプトが添付されたメールを検出させるため、「S/Danger.ScriptAttachment」を検出名とした入口対策を行っている。

その結果、日本で約2件に1件は、メール受信時の検知であるとともに、このメールの添付を駆除することでメールに対する無害化、ランサムウェア本体のダウンロードおよび発症を防ぐことができたという。

石川氏は、Locky以外のランサムウェアの動向についても説明した。実のところ、プロジェクトが終了宣言した「TeslaCrypt」以外のランサムウェアは終息していないという。例えば、4月になってから「CryptProjectXXX」や「Cerber」といった新種のランサムウェアが登場しているほか、その他のランサムウェアも検出されている。

●攻撃者のメールの日本語が達者に
○日本語文書を駆使したメール攻撃とクライムウェア

今年上半期のマルウェア動向のもう1つの特徴が「日本語文書を駆使したメール攻撃とクライムウェア」となる。

クライムウェアの目的の多くは認証情報搾取で、代表的なものは「不正送金マルウェア」と呼ばれるタイプのもので、インターネット銀行のログイン情報を搾取するマルウェアがある。

2016年上期に検出されたマルウェアの上位10位に、情報搾取を目的としたマルウェアが3つランクインしているという。説明会では、「Bebloh」が日本を主に標的にしたマルウェアとして、詳しい解説が行われた。Beblohは、日本語の文章を駆使した複数のパターンのメールを送りつけるという。

石川氏は、クライムウェアが添付されたメールは配送業者を装ったメールが目立つとしたうえで、日本語による偽装メールの日本語の質が向上していることを指摘した。

Beblohは、日本人が使いそうな件名や日本人でも使いそうな短い文章で構成されたメールを悪用することが紹介された。「『ご確認』という、日本人が取引先や友人と使いそうな言葉を件名にすることで、メールを開く可能性を高めている。こうした内容に関する情報を攻撃者も集めており、狙いやすい件名と本文を使って新たな攻撃を仕掛けることになると見ている」と石川氏。

さらに、ある配送業者のメール配信サービスをコピーして悪用したメールも紹介され、今後こうしたケースが増えることが予想されるという。

○今後、検討すべきセキュリティ対策は?

最後に、石川氏は今後、検討すべき対策について説明した。1つ目の対策は、ランサムウェアが攻撃に用いるファイルが添付されたメールへの対策だ。

例えば、社内ネットワークで対策を講じる場合、メールゲートウェイでファイル名に「.zip」に対して圧縮された「.js」と「.wsh」形式が含まれる添付ファイルを取り除くだけでも効果は期待できるという。

ただし、これは添付ファイルの中身を評価しての除去ではなく、拡張子を見て判定するだけにすぎないため、攻撃者側が拡張子を代えて来た場合は、ウイルス対策製品などによる中身の評価と検知および駆除が必要になる。

ゲートウェイ側もしくはエンドポイント側でスパム対策を行っている場合、Lockyなどを狙ったメールは英文が主体であるため、スパム対策で英文メールに対して除外するだけでも効果は期待できるという。

また、セキュリティベンダーによるJavaスクリプトへの対策が進んできた頃から、再びOfficeマクロによるダウンローダ「VBA/TrojanDownloader」を組み込んだばらまき型メール攻撃が見られるようになっていることから、取引先とのメールのやりとりではマクロ付のデータを極力扱わないといった運用による対処が紹介された。

2つ目の対策はランサムウェアを対象としたものだ。オフラインでも暗号化する特徴を持つLockyの亜種が確認されていることから、過去の攻撃手口として流行したUSBメモリなどから感染する方法も可能であることを容易に想像できるという。こうした状況も踏まえ、山本氏は、外部記録媒体からの発症もしくは侵入を防ぐ対策が必要と指摘した。

また、Androidを対象としたランサムウェアが進化しており、中でも人気のあるスマホアプリを装い、画面をロックするランサムウェアに注意する必要があるとした。こうしたことから、アプリをダウンロードをする前に、提供元メーカー名、送受信される情報など正規メーカーが提供されているものかどうかを確認することが重要となる。

そのほか、ランサムウェアは感染するとローカルPCで認識されるすべてのドライブとネットワーク先の共有データを暗号化してしまうことから、対策として、バックアップする場合、ランサムウェアがアクセスできない場所にデータを保管することを検討する必要があるという。

メールの場合、クライアント側の受信と同時にメールサーバから削除するという運用では、受信メールデータは感染したクライアント環境にしかないことになり、被害に遭った場合は大きな支障を来す。そこで、一定期間メールサーバからの削除を遅らせるだけでも、メールサーバに残ったデータから復旧できる可能性が高まる。

3つ目の対策としては、情報搾取を防ぐ方法が紹介された。手動でできる対策としては「日本語で書かれたメールを慎重に取り扱う」「送金を行う端末を限定する」「ローカルPCのデータも暗号化して、必要な時だけ復号して利用する」がある。

また、人の手では対応が困難な対策としては、「特定の場面でのキー入力暗号化による対策」「2段階認証の利用」が挙げられた。