「CERBER」は、2016年初期に出現して以来、随時斬新な手法を取り入れることで知られる暗号化型ランサムウェアのファミリです。これまで、音声による脅迫、クラウドサービスの悪用、データベースの暗号化、「malvertising(不正広告)」を利用した拡散、Windows スクリプトファイルの利用、各種のエクスプロイトキットなどを機能に取り入れ、時とともに改善してきました。目立って広く利用されている理由の1つは、CERBER はロシアのアンダーグラウンド市場で販売されているため、各方面のサイバー犯罪者にとって入手しやすいことにあるかもしれません。CERBER は日本国内でも拡散が確認されており、国内で 2016年10~12月に確認したランサムウェアを感染させる脆弱性攻撃サイトのうち、9割以上が「CERBER」を拡散させていたことは以前の記事で報告の通りです。
しかし、トレンドマイクロは、これまでとは異なる不正活動を見せる亜種(「RANSOM_CERBER.F117AK」として検出)を確認しました。この亜種は、セキュリティ対策ソフトウェアを暗号化対象ファイルから除外するため、一見無意味な骨折りをしています。
一般的に暗号化型ランサムウェアは、感染PC のデータを暗号化しますが、PC が正常に稼働できるようアプリケーションのファイルは暗号化せず、そのままにしておきます。そのためにソフトウェアがインストールされているフォルダ、そしてオペレーティングシステム(OS)があるフォルダのファイルについては、暗号化の対象から除外されています。暗号化型ランサムウェアは特定の拡張子を持つファイルのみ暗号化しますが、通常は実行可能ファイルも暗号化から除外されています。
新しく確認された CERBERの亜種は、そのような通常の暗号化型ランサムウェアの前提から外れ、感染PC にセキュリティ対策ソフトウェアがインストールされているかどうか確認します。ほとんどの Windows に実装されている「Windows Management Instrumentation (WMI)」は、Windows OS のシステム統計情報の収集、システム正常性の監視、およびシステムコンポーネントの管理ツールですが、実際には、システムの管理情報を共有するために利用できる強力なツールです。この情報には、通常、アプリケーションソフトウェア、つまりセキュリティ対策ソフトウェアの情報も含まれます。
CERBER は、“FirewallProduct”、“AntiVirusProduct”、および “AntiSpywareProduct” という 3つの WMI のクラス名についてクエリを出します。これらのクラス名はそれぞれファイアウォール、ウイルス対策、およびスパイウェア対策ソフトウェアを指しています。CERBER は、これらのソフトウェアがインストールされているディレクトリを抽出し、暗号化から除外するフォルダが列挙されたホワイトリストに追加します。
図1と図2:セキュリティ対策ソフトウェアを検出するコード
この活動の当面の目的が何であるかは、はっきりしません。大抵の Windows用ソフトウェアがインストールされているディレクトリは、通常、暗号化型ランサムウェアのホワイトリストにもともと含まれています。同様に、拡張子「exe」または「dll」のような実行可能ファイルも、暗号化の対象に含まれていないのが普通です。さしあたり、攻撃者はセキュリティ対策ソフトウェアが暗号化されないよう、三度も念入りに確認しているようなものです。
セキュリティ対策ソフトウェアの検出機能を別にすれば、この亜種の活動は他の CERBER の亜種と類似しています。1BTC(ビットコイン、2017年2月17日時点で日本円にして 12万円前後)の身代金を要求し、5日後に2BTC(約24万円前後)に倍額します。感染経路も類似しています。
図3:CERBERの脅迫状
■トレンドマイクロの対策
暗号化型ランサムウェアに関しては、感染してから対応するのでは間に合いません。ゲートウェイ、ユーザ機器、ネットワーク、そしてサーバを保護する、多層的なセキュリティ対策を積極的に導入しておくことが重要です。
トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。クラウド型業務アプリケーションのセキュリティを向上させる「Trend Micro Cloud App Security™」は、トレンドマイクロが持つコア技術であるサンドボックスや、レピュテーション技術をクラウド型業務アプリケーションでも活用できる機能を実装し、セキュリティ対策を高いレベルで実現します。一方、ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。
企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security Virtual Appliance™ & InterScan Web Security Suite™ Plus」は、ランサムウェアを検出し、侵入を防ぎます。「ウイルスバスター™ コーポレートエディション」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)