米国の「サンフランシスコ市交通局(San Francisco Municipal Transport Agency、SFMTA)」は、2016年11月28日(現地時間)、ランサムウェアの攻撃を受けたことを公表しました。SFMTA の説明によると、11月25日にランサムウェアによる感染を確認し、当初約900台の PC が影響を受けたとのことです。また、暗号化されたデータの回復のために 100BTC(ビットコイン、2016年12月6日時点で日本円にして 9百万円前後)を要求されており、要求に応じない場合、収集した 30GB分のデータを公開する、との脅迫を受けているとの報道もあります。トレンドマイクロでは、この攻撃で使用されたランサムウェアは 2016年9月に登場した暗号化型ランサムウェア「HDDCryptor(エイチディーディークリプタ)」の新しい亜種であり、ばらまき型の攻撃ではなく、ネットワークの侵入により SFMTA 内に感染したものと推測しています。
■SFMTA を襲った「HDDCryptor」
トレンドマイクロでは、11月下旬に「HDDCryptor」の新しい亜種が拡散していることを確認しました。解析の結果、この亜種は SFMTA への攻撃に利用されたランサムウェアであるものと考えています。この亜種は、「HDDCryptor」の他のバージョンと同様に、ハードディスクドライブ全体、および Windows ネットワーク上の共有ドライブを暗号化するため、複数のツールを作成します。特にこの亜種を利用する攻撃者に接触すると、SFMTA が受信したものと CSO で報告されているメッセージに類似したものが返信されてくることが一つの根拠です。
図1:攻撃者からの返信。仮想通貨「Bitcoin(ビットコイン)」の入手方法の指示が含まれている
この 2016年には不正プログラム拡散の手段として、メール経由の攻撃が中心的に確認されています。しかし、「HDDCryptor」を拡散させるためのマルウェアスパム攻撃はまだ確認されていません。「HDDCryptor」を利用する攻撃者は、まず攻撃対象のシステムをアクセス可能な状態とし、遠隔操作で感染させる手口を使用しているものと考えられます。これらの遠隔操作には、バックドア型不正プログラムを利用する他にも、一般的な「リモート・デスクトップ・プロトコル(Remote Desktop Protocol、RDP)」を利用する手口が確認されています。弊社のアンダーグラウンド調査では、侵害を受けたサーバの認証情報が売買されている実態が明らかになっていることも考え合わせると、攻撃者は自身でネットワークに侵入せずとも、アンダーグラウンドで入手したサーバの認証情報を遠隔操作に利用している可能性もあります。
今回の SFMTA の事例でも同様に、おそらく PC に存在する脆弱性を利用した攻撃により、まず PCへ アクセスできるようにしておき、その後、遠隔操作により「HDDCryptor」を感染させたものと推測しています。SFMTA のネットワーク内で感染を広める方法については、管理者の認証情報を利用し、なんらかのタスクをすべての機器上で実行するようスケジュールすることにより、感染させたものと見ています。
■どのように「HDDCryptor」が更新されたか
弊社は、「HDDCryptor」のバージョン違いを解析し、いくつかの変更点を確認しました。「HDDCryptor」の最初のバージョンは Visual Studio 2012 でコンパイルされていますが、SFMTA の攻撃でも使用されたと考えられる最新のバージョンは Visual Studio 2013 でコンパイルされています。この最新の亜種では、SFMTA への攻撃で利用されたものと同じ脅迫状を表示します。
「HDDCryptor」のネットワーク共有ファイルの暗号化は、モジュールの一部である、“mount.exe” ファイルによって実行されます。暗号化対象の各ドライブ名とパスワードが引数として “mount.exe” へ渡され、共有ファイルの暗号化活動が実行されます。
初期バージョンの「HDDCryptor」では、この “mount.exe” の プログラムデータベース(PDB)内に、crp_95_02_30_v3 という文字列が確認できます。
- c:\users\public.unkonw\desktop\crp_95_02_30_v3\crp\release\mount.pdb
最新バージョンの「HDDCryptor」においても、同様の CRP_95_08_05_v3 という文字列が確認できます。
- C:\Users\public.Unkonw\Desktop\CRP_95\CRP_95_08_05_v3\CRP\Release\Mount.pdb
これらの日時のタイムスタンプは信用できるものとは言えませんが、最新バージョンは初期バージョンの「HDDCryptor」を更新し、コードを「改良」していることの表れと見なせます。
「改良」の内容は様々ですが、その一例として検出回避機能があります。初期バージョン以外の「HDDCryptor」ではリソース部分(拡張子 rsrc)にあるデータが簡単な暗号化方式を利用して暗号化されています。これはセキュリティ対策製品による検出を免れるためによく使用される手口です。同時に、基本的なサンドボックス回避・デバッグ回避の機能、文字列のエンコードなど、セキュリティ対策製品などによる検出を回避するための「改良」が加えられています。
図2:リソース部分の復号化アルゴリズム。リソースをロードした後、アドレス0x9922D0 で復号が開始される
※検体ハッシュ値「97ea571579f417e8b1c7bf9cbac21994」
これまでの「HDDCryptor」の攻撃ではユーザアカウントの追加が行われていました。9月の時点で確認されたユーザ名は “mythbusters“ というものでした。その後まもなく、ユーザ名 “ABCD” が観察されましたが、これは検出を回避するために作成者が変更したものと考えられます。11月下旬に確認された最新の「HDDCryptor」では、ユーザアカウントの追加は行われず、代わりに “C:\Users\WWW” というファイルパスが追加されており、ローカルのハードディスクドライブおよびネットワーク共有ファイルの暗号化の実行に必要なファイルがそこに作成されます。
図3:「HDDCryptor」によって作成されるコンポーネント
「HDDCryptor」は、ネットワーク共有ファイルを暗号化した後、ローカルのファイルの暗号化に必要なコンポーネントをすべて作成し、システムを一旦再起動し、再起動後に自身の活動を再開します。
図4:再起動後に実行される、「HDDCryptor」の不正な活動のログ
その後、2度目の再起動をします。それから「HDDCryptor」は「マスター・ブート・レコード(MBR)」を上書きし、脅迫状を表示します(図5参照)。脅迫状は、バージョンにより Eメールアドレスと文言が異なりますが、他は同様です。
図5:「HDDCryptor」の脅迫状
新しいバージョンの「HDDCryptor」のファイルの実行中に渡される引数は復号のパスワードです。これは初期バージョンと同様です。
「HDDCryptor」ではハードディスクの暗号化のためにオープンソースのデータ暗号化ソフトウェア「DiskCryptor」を使用していますが、使用される「DiskCryptor」本体は再コンパイルされていないことが解析から確認されています。「HDDCryptor」では初期バージョンから “dcapi.dll” ファイルを改変し、脅迫状の表示を追加していました。
■「HDDCryptor」の次には何が予測されるか
今回の SFMTA への攻撃においては、30GB 相当のデータが窃取され、それを元に脅迫が行われたとされています。弊社では、これらの情報流出についてまだ確認していませんが、ランサムウェアが収集した情報を、ディープWeb やアンダーグラウンド上で公開・販売する傾向は、これまで弊社が予測してきたランサムウェアの変化と同一と言えます。ランサムウェアを利用した攻撃では、通常、元のファイルと交換に身代金がファイルの持ち主に要求されるだけであり、暗号化されたデータすべてを分別し、そこから販売する価値のある情報を探しだすことは現実的には非常に困難でしょう。しかし、ランサムウェアがデータを暗号化する過程で、そのデータのコピーを攻撃者の元に送出する、というのは無理のないプロセスです。ユーザが暗号化された情報に対して身代金 2BTC(18万円前後)を支払ったということは、その暗号化されたデータの中にユーザにとって重要なデータがあることを意味します。すると攻撃者は、ユーザがどのような人物かを個別に確認します。もし単に家族経営のビジネスであった場合、身代金を受け取った後、ファイルを復号するための情報を渡します。しかし、身代金を払ったのが SFMTA のような組織であると判明した場合、攻撃者はすぐさま身代金を釣り上げ、追加手段として、ファイルの公開という脅迫を行うかもしれません。弊社では、この手口は、来年 2017年にはさらに顕著に見られるようになると予測しています。
侵入の痕跡(Indicators of Compromise、IOC)、および「RANSOM_HDDCryptor」に関連するハッシュ値は、こちらを参照してください。
■トレンドマイクロの対策
ランサムウェアによって引き起こされている最近の事例は、事業の中断、金銭の損失、評判の失墜といった弊害を組織へもたらすリスクを明らかにしているとともに、積極的なセキュリティ対策の重要性を強調しています。ユーザは、入口から広範囲のユーザ機器、ネットワーク、サーバまでを保護する、多層的なセキュリティ対策によって防衛できます。
バックアップは、暗号化型ランサムウェアに対して、今でも最善の防衛策です。3-2-1ルールに従いバックアップを取ることによって、ランサムウェアの被害に遭ったとしても、データの無事が保証されます。
- 3つ以上のコピーを保存
- 2つの異なる種類の端末に保存(例:ハードドライブおよび USB)
- そのうちの1つは他の2つとは異なる場所に保存(例:自宅とオフィス)
トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。
クラウド型業務アプリケーションのセキュリティを向上させる「Trend Micro Cloud App Security™」は、トレンドマイクロが持つコア技術であるサンドボックスや、レピュテーション技術をクラウド型業務アプリケーションでも活用できる機能を実装し、セキュリティ対策を高いレベルで実現します。一方、ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。
企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security Virtual Appliance™ & InterScan Web Security Suite™ Plus」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター™ コーポレートエディション XG」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。
※協力執筆者:William Gamazo Sanchez および Robert McArdle
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)