トレンドマイクロは、10月半ばより、蔓延する「CryptoLocker」の数の増加を確認していました。この最新版「身代金要求型不正プログラム(ランサムウェア)」は、さらに多くのユーザを攻撃し続けています。2013年 9月と比較すると、10月に確認されたケース数はその約3倍でした。
「CryptoLocker」の感染は、北米、ヨーロッパ、中東、そしてアジア太平洋を含む異なる地域に渡って確認され、感染した被害者の約3分の2(64%)が、米国でした。被害に遭った他の国には、英国およびカナダが含まれており、それぞれの内訳は、グローバル全体の被害者の 11% および 6% でした。
弊社は、10月 21日のブログで、これらの脅威が Eメールを介してどのように侵入するかを取り上げました。「CryptoLocker」は、ランサムウェアと呼ばれる既知の脅威タイプの改良版として見なすことができます。こういった「改良」は、弊社の「2013年におけるセキュリティ予測」においても言及されており、サイバー犯罪者たちの焦点は、まったく新しい脅威を作り出すことよりも、既存のツールの改良に集まるだろうと述べています。
■対処方法とは?
個人または企業・組織が講じることができる「CryptoLocker」の脅威への対処方法は、いくつかあります。この脅威は、他のファイルをダウンロードする「TROJ_UPATRE」をもたらすスパムメールが発端となるため、その成功は、メッセージに使われているソーシャルエンジニアリングの手口と、それをどのようにユーザが対処するかによって決まります。
通常 Eメールや添付ファイルを開く際に考慮すべき、コンピュータを安全に使用するための簡単な、しかし見落とされがちな実践を紹介します。
なお法人のお客様は、Eメールの添付に関する会社のポリシーを再確認してください。通常メールを利用して実行ファイルを送信することは好ましくないとされます。また多くの組織は、添付ファイルをブロックする厳格なポリシーを定めています。もしそのようなポリシーが現時点でない場合は、これを期に作成することを是非検討してください。
特定の目的のためにデバイスを設定することも、「CryptoLocker」関連の感染連鎖を軽減する方法の 1つです。例えば、もしユーザが Microsoft の Word を使用することだけを求められる場合、限られた特権を有するユーザアカウントおよび PC が妥当であると考えられます。多くの企業は、こういった取り組みを行っていますが、ホワイトリスト化されたソフトウェアアプリケーションのリストを用いたり、「AppLocker」のような Windows の特定の機能を活用したりすることでより強化されます。
これは、組織における総合的なセキュリティ対策を補填します。ユーザは、不正なファイルの実行からユーザを守るだけではなく、不正プログラムが PC へ侵入する前に防御するようなセキュリティ対策製品を実装させてください。
弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「E-mailレピュテーション」技術により不正な添付ファイルをもつこのようなスパムメールをブロックします。また「Webレピュテーション」技術により、関連する URL へのアクセスをブロックします。さらに、セキュリティ対策製品と、実行が認められたアプリケーションのリストを併用することで、デスクトップ PC 上で実行される攻撃を軽減します。
■結論
目新しいことはありませんが、「CryptoLocker」は、ランサムウェアや偽セキュリティソフト型不正プログラム「FAKEAV」の攻撃によって以前利用された脅しの戦略方法を次の段階へと進めました。今日、ユーザの多くは、優良なセキュリティ対策製品を頼りにしていますが、ユーザ教育、ソフトウェアの定期的な更新、そして PC の使用についての厳格なポリシーなどが「CryptoLocker」やその類の脅威に対して決定的な防御となることは、言及するに値します。
今日の不正プログラムは、サイバー犯罪者によって巧妙化されています。PC のシステムは、こういった攻撃に対抗するため、同じ様に強固になる必要があります。不正プログラムの感染を対処する総合的な取り組みは、感染率自体を低くするためだけではなく、複合的な攻撃に対応する綿密な戦略における防御力をもたらすことにより、不正プログラムの感染連鎖の循環すべてを断ち切ることに役立ちます。
ランサムウェアからの感染を回避するためにはこちらもご参照ください(英語情報)。
参考記事:
by Jay Yaneza (Technical Support)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)