世界190カ国以上に9,300万人以上の加入者を持つ動画配信サービス「Netflix」から、サイバー犯罪者が分け前を得ようと考えても不思議ではありません。彼らは、Netflix会員の認証情報を窃取しアンダーグラウンドで金銭に換える、あるいは Netflixアプリの脆弱性を悪用する、また、最近では、会員の金融関連その他の個人情報を窃取するマルウェアを PCに感染させる、などの不正活動を行ないます。
窃取された Netflix の認証情報は、他の目的のためにも利用されます。例えば、サイバー犯罪者間の交渉で、取引材料とされることがあります。さらに悪質な場合、ユーザにマルウェアをインストールさせるための餌とし、金銭をだまし取るために利用されることがあります。つまり、Netflix で好きな番組を「タダ見」しようとしたユーザの PC がランサムウェアに感染し、ファイルが人質にとられてしまう、ということがあり得ます。
トレンドマイクロは、Netflix の偽ログインアカウント生成プログラムを利用して、Windows PCユーザをおびき寄せるランサムウェア「RANSOM_NETIX.A」を確認しました。このアカウント生成プログラムは、主に、会員アカウントを乗っ取るためのソフトウェアに利用されるツールの一つです。これらのプログラムは、大抵、不正コピーしたアプリや、プレミアム会員用など有料の Webベースのサービスへの違法アクセス方法を公開している、不正な Webサイトで頒布されています。
図1:感染PC に壁紙として表示される脅迫メッセージ
図2:身代金支払い方法が指示されている脅迫メッセージ部分
図3:Netflix の偽ログインアカウント生成プログラム
図4:「ログインアカウントを生成」をクリックすると表示されるウィンドウ
■詐欺の手口
“Netflix Login Generator v1.1.exe“ という実行ファイル名を持つランサムウェアは、ます自身のコピー “netprotocol.exe” を作成し、その後このコピーが実行されます。「Generate Login(ログインアカウントを生成)」ボタンをクリックすると、正規の Netflix のアカウントのログイン情報を表示するとされる、別のウィンドウが表示されます。「RANSOM_NETIX.A」は、これらの偽のウィンドウを表示してユーザの注意をそらしている間に、C:\Users ディレクトリにある以下の 39のファイル形式の暗号化を実行します。
ランサムウェアは、AES-256暗号化アルゴリズムを採用し、暗号化したファイルに拡張子「.SE」を追加します。脅迫メッセージでは、他のランサムウェアファミリの要求額に比べ、低価格の身代金 0.18BTC(ビットコイン、2017年1月31日時点で日本円にして 19,000円前後)が要求されます。ランサムウェアは、コマンド&コントロール(C&C)サーバに接続し、例えば識別番号をカスタマイズするなど情報を送受信し、また、脅迫メッセージをダウンロードし、そのうちの一つが感染PC に壁紙として表示されます。また、注意をひく点として、感染PC のオペレーティングシステム(OS)が Windows 7または 10でない場合、ランサムウェアは自身を終了します。
■被害に遭わないためには
サイバー犯罪者が狙うユーザアカウントは多様化しています。たとえば、窃取された Netflixアカウントは、異なる IPアドレスで同時に使用可能であるため、使い勝手のよい商品となっています。また、アカウントを窃取されたユーザも、端末数の制限を超えていない限り、この不正にすぐには気づきません。サイバー犯罪者から加入者アカウントを保護するために重要な点として、ユーザは、サービスの提供者のセキュリティに関する推奨事項を遵守してください。さらに、良好なセキュリティ習慣を実行することが重要です。正規のメールに偽装した Eメールに注意し、定期的に認証情報を更新しましょう。二要素認証を使用し、ダウンロードする際には正規の Webサイトからのみダウンロードしてください。
この Netflix をかたる詐欺は、動画、音楽、ソフトウェア、または会員用など有料コンテンツの海賊版の利用に伴う危険に注意させる事例となります。重要なファイルを暗号化される危険を冒してまで、著作権の侵害である海賊版を利用したいとは思わないはずです。Netflix のプレミアムプランは、12米ドル前後(日本円で月額1450円)で、同時に 4台の端末でコンテンツをストリーミングできます。ユーザがファイルを暗号化された場合に支払う身代金 0.18BTCと比較してください。しかも、過去のランサムウェア被害事例が示しているように、支払いをしても復号は保証されません。
サイバー犯罪者は、「更新プログラム」が適用できないわずかな弱点、つまり人の心理を突いてきます。ソーシャルエンジニアリングはこのような詐欺の不可欠な要素だということを、ユーザは覚えておきましょう。あり得ないことを約束した広告をクリックしたり、コンテンツをダウンロードしたりしないでください。話がうますぎる場合、大抵は偽物です。
■トレンドマイクロの対策
トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。
クラウド型業務アプリケーションのセキュリティを向上させる「Trend Micro Cloud App Security™」は、トレンドマイクロが持つコア技術であるサンドボックスや、レピュテーション技術をクラウド型業務アプリケーションでも活用できる機能を実装し、セキュリティ対策を高いレベルで実現します。一方、ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。
企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security Virtual Appliance™ & InterScan Web Security Suite™ Plus」は、ランサムウェアを検出し、侵入を防ぎます。「ウイルスバスター™ コーポレートエディション XG」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。
この脅威に関連する SHA1ハッシュ値:
- 6ddc37ded7ab01e17e9c274b930d775a513db760 — 「RANSOM_NETIX.A」として検出
※協力執筆者:David Sancho および Sylvia Lascano
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)