“Attention! Attention! Attention!”(注意!注意!注意!)
“Your documents, photos, databases and other important files have been encrypted!”(あなたのドキュメント、写真、データベースその他重要ファイルが暗号化されました!)
「身代金要求型不正プログラム(ランサムウェア)」により、PC上の重要なファイルすべてが暗号化された場合を想像してみてください。その後すぐに「身代金」を要求するメッセージを受け取り、そこには身代金を支払うまで暗号化されたファイルは復号されない、と書いてあります。
ランサムウェア脅威状況において、「RANSOM_CERBER.A」が出現するまで、「声」で感染したユーザに身代金支払いを促す「Cryptoランサムウェア(暗号化型ランサムウェア)」は存在していませんでした。この「RANSOM_CERBER.A」は、冒頭のメッセージをコンピュータによる合成音声で再生します。音声ファイルはこちら
暗号型ランサムウェアは、通常、身代金の支払い方法とファイルの復旧方法についての指示を画像で表示します。この斬新な手法からは、REVETON の亜種が思い起こさせられます。警察を装うランサムウェアである REVETON も、ユーザの所在地に応じた言語で「話す」ことのできる不正プログラムとして知られています。
図1:支払い要求メッセージのサンプル
トレンドマイクロの調査では、CERBER は英語しか利用しません。しかし、ユーザが匿名通信システム「The Onion Router(Tor)」のブラウザ経由でリンクをクリックすると、言語を選択するページに誘導されます。そのページには様々な言語が選択できるようになっているものの、2016年3月6日時点では、英語のみ表示可能です。CERBER を操るサイバー犯罪者は、ユーザにまず1.24 ビットコイン(日本円 5万8千円程度。2016年3月8日時点)の支払いを要求し、その後7日間で2.48 ビットコイン(11万7千円程度)にまで要求額を引上げます。
図2:最初に開くページで表示言語を選択
弊社はまた、CERBER の環境設定ファイルに拡張子.json を利用していることを確認しました。このファイル形式は、通常、Attribute Value Pair(属性値ペア)で定義されるデータの送信や保存の際に使用される形式です。環境設定ファイルの詳細を解析した結果、この問題のランサムウェアは至極簡単にカスタマイズが可能であることが判明し、攻撃者が脅迫文や攻撃対象ファイル拡張子、国名ブラックリストを変更できるようになっています。このことはから CERBER は、金銭目的のサイバー犯罪者の目的に応じて設計されていることが伺えます。
図3:カスタマイズに適した CERBER の環境設定ファイル
図4:カスタマイズに適した CERBER の環境設定ファイル
弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のフィードバックによると、「Nuclear Exploit Kit」が「Malvertisement(不正広告)」を利用してこの不正プログラムを拡散していることが確認されています。「Nuclear Exploit Kit」は、悪名高い「Angler Exploit Kit」に次いで今日最も広く利用されているキットの1つです。
現在、これらの不正広告をホストしているサーバはすべてアクセスできません。報道によると、CERBER はロシアのアンダーグラウンド市場で、「Ransomware as a service(RaaS)」、つまり、サービスとしてのランサムウェアとして販売されているようです。このことは上述した環境設定ファイルのコードについての推測を裏付けるだけでなく、近い将来、CERBER がさらに出回ることを予想させます。
■ バックアップの作業訓練
ランサムウェアは効果的なソーシャルエンジニアリングの手口とファイルを人質に金銭を窃取しようとする不正活動する能力を備えて3いるため、いまだ終息の気配が見えない脅威です。この脅威がどのような仕組みで動くかを知ることは、ユーザの個人情報や、企業の機密情報を保護することにつながります。少なくとも普段から定期的に重要なファイルのバックアップをとっておくことが最善です。ファイルのコピーを3つ用意し、2つの異なる端末に保存し、1つは安全な場所に保存する、という3-2-1ルールを実践しましょう。また重要な点として、サイバー犯罪者に屈して身代金を払ってしまうと、あなたに支払う能力があるとみなされ、再度狙われることになりかねない、ということを覚えておきましょう。また、ランサムウェアを持ち込むエクスプロイトキットから身を守るため、使用している PC を最新の状態に保つことも重要です。
■ トレンドマイクロの対策
トレンドマイクロのエンドポイントセキュリティ対策製品「ウイルスバスター クラウド™」、「ウイルスバスター™ ビジネスセキュリティ」、および「ウイルスバスター™ ビジネスセキュリティサービス」は、今回の事例に関連するランサムウェアの亜種を検出および削除します。また、この脅威に関連する不正な Webサイトへのアクセスをブロックします。
参考記事:
- 「CERBER: Crypto-ransomware that Speaks, Sold in Russian Underground」
by Rhena Inocencio (Threat Response Engineer)
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)