ランサムウェアは一般的にWindowsをターゲットにしたものが多くみられます。しかし、MacBookなどのシェア拡大に伴い、最近ではmacOSユーザーを狙うものも登場しています。

感染すると暗号化解除のためビットコインを要求される

デスクトップOSのシェアは、Windowsが91.6%を占めており、macOSは6.3%に過ぎません。このことから、ランサムウェアの多くはWindowsにターゲットを絞っているとされてきました。
 

 
しかしFortinetは、macOSをターゲットにした、ランサムウェアとアフィリエイトの仕組みを組み合わせた「ランサムウェア・アス・ア・サービス(Ransomware-as-a-service:RaaS)」の存在を指摘します。「身代金」には、犯人が特定されにくいビットコインが用いられます。
 
Fortinetの研究者が、macOS向けRaaSの作者に接触したところ、以下のような仕組みが明らかになりました。
 
攻撃対象がMacであるかどうかなどのイニシャルチェックが終了すると、MacRansomとも呼ぶべきランサムウェアは、~/Library/LaunchAgents/com.apple.finder.plistにラウンチポイントを作成します。これによって、MacRansomはスタートアップ毎に起動できるようになるほか、特定のトリガータイムでの暗号化が可能となります。
 

 
また、ファイル名が実際に存在するファイルと同名に偽装されるほか、com.apple.finder.plistの暗号化や、タイムスタンプの変更などが行われるため、被害者がマルウェアの存在に気づいても、簡単にリカバリーができないようになっています。

ランサムウェアとしては初歩的ではあるが

幸いにも、今回発見されたランサムウェアについては、暗号化されるファイルは最大で128件と多くないこと、暗号化解除のために0.25ビットコイン(約7万円)を送金する際、犯人にメールを送らなければいけないことなどから、それほど複雑なものではないと考えられます。
 

 
ただし、Fortinetは仮に「身代金」を支払ったとしても、犯人が暗号を解除できるかどうかは疑問だとしています。
 
なお、こうしたランサムウェアの感染被害を最小化する方法としては、ファイルのバックアップをこまめに行うこと、信頼できないソースや開発者以外によるファイルは注意すること、などが挙げられます。
 
 
Source:Fortinet,CNET
(kihachi)