ランサムウェア(身代金要求型不正プログラム)のアプローチ手法

 ランサムウェアが近年、注目を浴びてきている。ランサムウェアとは一般に、感染するとユーザのコンピュータ内にある任意のファイルを暗号化し、元に戻すための暗号解除アプリケーションを売りつける、いわば身代金要求型不正プログラムである(ランサム = 身代金)。近ごろは、これに偽セキュリティソフトを絡めた多重アプローチが見られるようになり、より手の込んだ不正活動が目立つようになってきた。

 今回は、ランサムウェアとしての代表的な動作であり、今年に入り確認された「TROJ_FAKEALE.BG」を例に、その全体像をご紹介する。

 「TROJ_FAKEALE.BG」はまず、Web上もしくはほかの不正プログラムから侵入するが、この時、「TROJ_FAKEALE.BG」は「DLL」という形でやってくる。

 このDLL(TROJ_FAKEALE.BG)は、最初の不正活動となる暗号化を行うプログラムであり、ユーザのファイルを“人質”とする役目を担う。

 DLL(TROJ_FAKEALE.BG)がシステム内に組み込まれると、まず

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows

のAppInit_DLLs に自身のパスを記述することで、システム起動時に自動で読み込まれるように設定する。

図1 「TROJ_FAKEALE.BG」が改変するレジストリ
図1 「TROJ_FAKEALE.BG」が改変するレジストリ

 このDLL(TROJ_FAKEALE.BG)は丁寧にも「プロパティ情報」まで偽造されており、「開発元」には「Microsoft Corporation」とある。

図2 偽造されたプロパティ情報
図2 偽造されたプロパティ情報

 一般的に出回っている不正プログラムは「プロパティ情報」を持たないものも多く見られるが、こうした部分を見ることで不正プログラム作成者の、より慎重な性質がいくらかうかがい知れる。

 次に、DLL(TROJ_FAKEALE.BG)はマイドキュメントおよびマイピクチャ内の、特定拡張子を持つファイルを対象に、暗号化を次々とひそやかに行っていく。この時、画面上には何の変化も見られないことから、ユーザがその動作に気付くことはない。

 対象とされている拡張子は以下すべてである。

doc,docm,docx,dotm,dotx,jpeg,jpg,mdb,mp3,pdf,png,potm,potx,
ppam,ppsm,ppsx,ppt,pptm,pptx,pst,wma,xlam,xls,xlsb,xlsm,xlsx,
xltm,xltx

 対象ファイルは実際にすべて暗号化されており、開いても表示することはできなくなる。

図3 [マイ ドキュメント]内の対象ファイルすべてが暗号化される
図3 [マイ ドキュメント]内の対象ファイルすべてが暗号化される

図4 [マイ ドキュメント]内の対象ファイルすべてが暗号化される(GIFアニメーション)
図4 [マイ ドキュメント]内の対象ファイルすべてが暗号化される(GIFアニメーション)

 また、画像以外の暗号化されたファイルを開くと以下のように「このファイルは暗号化されており開けません」というメッセージを表示させ、暗号解除するようにを促す。

図5 画像ファイル以外の暗号化されたファイルを開くと表示されるメッセージ
図5 画像ファイル以外の暗号化されたファイルを開くと表示されるメッセージ

 間もなくして、画面右下のタスクトレイに以下のポップアップが表示され、いくつかのファイルが暗号化されていること、そして同時に、暗号を解除する方法がある旨を伝えてくる。

図6 タスクトレイに表示されるポップアップ
図6 タスクトレイに表示されるポップアップ

<メッセージ要約>
Windowsは、あなたのいくつかの文章ファイルやメディアファイルが暗号化されていることを検出しました。ここをクリックして、修復アプリケーションをダウンロードし、インストールしてください。

 上記は、DLL(TROJ_FAKEALE.BG)が表示している、偽のWindowsメッセージであるため、日本語環境であっても英語で表示される。
タスクトレイに表示される、赤い盾のアイコンも、DLL(TROJ_FAKEALE.BG)の内部にリソースファイルとして組み込まれていた。

 ここで、このポップアップをクリックすると、ブラウザが開き、「http://<省略>lefixpro.com/public/download.php」へ接続される。(ただし、2009年3月20日以降接続できないことを確認済みである。)

 上記サイトからは「暗号解除アプリケーション」と称した「FileFix Professional 2009」という実行ファイルがダウンロードされる。トレンドマイクロではこれを、先ほどのDLLと同じく「TROJ_FAKEALE.BG」として検出対応している。

 

 一見双へきをなすと思われるこの2つのプログラムは、実は同じ作成者により生み出された、身代金詐欺のための巧妙な道具なのである。

 この「FileFix Professional 2009」は、正規のアプリケーションと同じく、セットアップという手段により堂々とユーザにインストールさせる形を取っているが、れっきとした不正プログラムである。

 先ほどのDLL(TROJ_FAKEALE.BG)により暗号化されたファイルを、取り戻したいユーザがこの「暗号解除アプリケーション」を実行すると、暗号化されたファイルのリストが次々と表示され、いち早く「暗号解除」を行うように促す。

 ここで、「Fix it!(修復!)」ボタンをクリックすると、1つのファイルだけであるが、暗号化が実際に解除される。そして、「そのほかのファイルに対する暗号化を解除したければ、シリアルキーを購入してください」という旨のメッセージが表示される。

図7 1つだけ暗号化が解除されシリアルキーの購入を促される
図7 1つだけ暗号化が解除されシリアルキーの購入を促される

 1つだけであれ、実際にファイルの暗号化が解除されることから、ほかの暗号化されたファイルを解除するために、思わず金銭を支払ってしまうユーザは少なくないのではないだろうか。

 近年の脅威は、愉快目的から金銭目的への変化の収束を終えつつあるが、ランサムウェアはその変化の一端を示す典型例であると言えるだろう。

 現時点では、日本語化されたランサムウェアは確認されていないが、日本語化された偽セキュリティソフトは既に出回っている。このことから、日本語で作成されたランサムウェアが今後近いうちに出現してもおかしくはない。

 こうしたランサムウェアから身を守るには、

  • 信頼できないサイトへのアクセス・ソフトウェアのインストールを気軽に行わない
  • ランサムウェアの疑いがあれば、セキュリティベンダーへ連絡する
  • 常に最新の更新プログラム・セキュリティ対策ソフトを入れておく

    •  ということにつきる。

     これらは、これまでに幾度となく言われてきた、ほかの不正プログラム対策となんら変わりない。こうしたことから、単純に思える基本対策であっても、依然、複数の脅威を未然に防ぐ非常に有効な手段となりえることを、十分に理解しておくことが必要不可欠だろう。

    No related posts.