2016年は、ランサムウェアの被害が増大した年でした。サイバー犯罪者はランサムウェアをさらに凶悪化させ、企業や個人ユーザの重要データを人質にさらに多くの身代金を得ることに成功しました。昨年新たに確認されたランサムウェアは 2016年9月末までの段階で既に 146ファミリに達し、2015年の 29ファミリと比べ大きく増加しています。ランサムウェアの急速な拡大と発展の背景には、プラットフォーム、機能、手法の全ての面で改良に力を注ぐサイバー犯罪者の奔走があります。
既に、モバイルユーザを狙った新しいランサムウェア脅威が確認されています。また、他のオペレーティングシステム(OS)を狙うランサムウェアが作成され、会員仲間や新参サイバー犯罪者向けにアンダーグラウンドで販売されています。Linux システム用に作成された最初のランサムウェアとして知られる「Linux.Encoder」(「ELF_CRYPTOR」ファミリとして検出)は、Webページへのプラグインや、ECサイトプラットフォーム「Magento」等のソフトウェアに存在する脆弱性を悪用し、LinuxのWebホスティングシステムを攻撃しました。Mac OS X を狙ったものでは、「KeRanger」(「OSX_KERANGER」として検出)が確認されています。このランサムウェアは、改ざんされたファイル共有アプリケーションやリッチテキストフォーマット(拡張子「RTF」)の文書に偽装する不正な Mach-Oファイルに確認されました。
これらのランサムウェアには「Unix系を狙う」という共通の特徴があります。Unix は、コマンドラインを使用する、マルチユーザシステムのOS です。一元化したファイルシステムと、シェルやコマンド言語など簡易でありつつ強力なツールを使用しマルチタスクを実行します。その移植性と、プログラマからの人気によって普及し、Linux や Mac OS X など、さまざまな他のシステムが派生しました。
「Linux.Encoder」(上)と「KeRanger」(下)の暗号化ライブラリの類似点。どちらにも SSL/TLSの暗号化機能を提供する「ARM mbed TLS」が利用されている
図2:「Linux.Encoder」(左)と「KeRanger」(右)の関数名の類似点(赤枠)。どちらにも同じ関数の論理式が存在することから、「KeRanger」は「Linux.Encoder」の書き換えである可能性がある
■Unixを狙うランサムウェアは「基礎工事中」
どちらのランサムウェアも、典型的な Windows版ランサムウェアに見られる手法で感染しますが、侵入時には、ユーザの関与を必要としません。「Linux.Encoder」はセキュリティ上の不具合を悪用します。「KeRanger」は、ダウンロードするアプリの開発元の署名を検証する Mac OSの保護機能「Gatekeeper」を迂回するために、Appleの正規の証明書を窃取することが特徴です。両方のランサムウェアで利用されているパッカー、暗号化ライブラリ、関数名、脅迫状、また構造上に見られる類似点から、「KeRanger」は、「Linux.Encoder」の再コンパイル版である可能性があります。
Unix系を狙うランサムウェアの先駆けとも言えるこれらのランサムウェアを解析することによって、サイバー犯罪者が何を狙っており、最終的には何を目指しているか、予測が可能です。例えば、「KeRanger」には、Mac OS X に内蔵されているバックアップ機能「Time Machine」を暗号化あるいは削除できる、未使用のままの機能が備えられています。ランサムウェアのオープンソースコードを利用して作成された「Linux.Encoder」は、暗号化活動の不具合を修正するため、何度も更新されています。「Linux.Encoder」に感染した Linuxサーバは数多く、3番目のバージョンには世界中の600台以上のサーバが感染したと報告されています。
Unix系を狙うランサムウェアはまだ実験段階にあるかもしれませんが、どこから分岐しているのか、また、攻撃対象をできるだけ拡大して収益を上げるためどのような機能を搭載しているかが明らかになりつつあります。これは、LinuxやAndroidなど、Unix系OS を対象とする他のファミリの登場によって確認されています。以下は代表的なUnix系を狙うランサムウェアファミリのリストです。
- 「KillDisk(RANSOM_KILLDISK.A)」
- 「Rex(RANSOM_ELFREXDDOS.A)」
- 「Encryptor RaaS(RANSOM_CRYPRAAS.B)」
- 「KimcilWare(RANSOM_KIMCIL)」
- 「Svpeng(ANDROIDOS_SVPENG)」
- 「Koler(ANDROIDOS_KOLER)」
- 「Synolocker(RANSOM_SYNOLOCK)」
- 「CryptoTrooper(RANSOM_CRYPTOTROOPER)」
- 「PHP Ransomware(PHP_CRYPWEB)」
すでに 2014年に Linux版ランサムウェア「Synolocker」が確認されています。「CryptoTrooper」と「PHP Ransomware」については、「Linux.Encoder」と同様に、教育目的を意図して公開されたオープンソースコードが悪用される危険性について証明する結果となりました。
■Unix系OS はランサムウェアの狩場となるか
しかし、Unix系OSは、ランサムウェアのような粗暴な脅威が狙いやすいプラットフォームとは言えません。市場シェアと利用者数からもそう言えますが、その違いはアーキテクチャにも起因します。例えば、Linuxのような Unix系 OSのソフトウェアは、ソースファイル、または検証されたリポジトリからコンパイルされます。また、許可のプロセスにしても、ファイルにアクセスして暗号化するために必要な権限でファイルを実行することが難しくなっています。対して、Windowsのユーザアカウント制御(UAC)機能では、ソフトウェアは標準ユーザ権限での利用に制限されており不用意に変更を加える事ができないようにしてあるものの、多くの場合、プログラムがシステムに変更を加えられるように容易に許可できてしまう上に、組織でも利用者に管理者権限でのアクセスを許可しやすい傾向があります。とはいえ、Unixも絶対安全ではありません。リモートでコードを実行できるプロシージャコールの脆弱性の利用、またはソーシャルエンジニアリングを駆使したメール、どちらかでも利用されれば、ランサムウェアのシステムへの侵入が可能になります。
Unix系を狙うランサムウェアの活動はまだ模索の段階にあるように見えますが、サーバ、ワークステーション、Webアプリケーションフレームワーク、データベース、モバイル機器まで広く利用される Unixの普遍性を考慮すると、今後セキュリティ上の大きな課題をとなる可能性があります。Unix系OS搭載機器は、ITサービス、教育、医療、金融、小売、メディア、製造などさまざまな業界の企業で利用されています。例えば、Linuxシステムは、多くのホスティングサービスプロバイダやストレージサービスプロバイダの主流で、複数のクライアントが同時にさまざまな Webサイトを管理するために使用されていますし、データセンターのような組織も、中断を許されない基幹業務の操作を実行するプラットフォームとして、Unix系のシステムに依存しています。
■被害に遭わないためには
IT管理者と情報セキュリティ専門家は、常に油断せずにシステムを管理する必要があります。ランサムウェアに侵入されれば、運営が妨害され、信用を失い、収益の損失へつながりかねません。
Linuxのシステム管理者は、検証されていないサードパーティのリポジトリを利用しないようにするか、あるいは追加する場合には十分検討してください。Linuxがソフトウェアパッケージのダウンロードのため中央リポジトリを保持していても、権限を持つユーザは、未検証のサードパーティのリポジトリのインストールが可能です。権限昇格の脆弱性を使用しない脅威に対処するには、アクセス許可を持つユーザを限定する必要があります。“root” ユーザとしてのログインはデフォルトで実行不可となっていますが、rootユーザ権限が許可された場合には実行できるため、システム管理者や IT管理者は、rootユーザの権限でコマンドを実行することのできる “sudo”ユーザの追加を制限する必要があります。
権限を制限することによって、プログラムが Linuxシステムに加える変更を制限することになり、セキュリティを大幅に強化することができます。定期的な監査とメンテナンスによって、実行中のサービスの最小化や不要なサービスの無効化などを実施し、攻撃されるリスクを軽減できます。誤って設定されたプログラムのために、Linuxセキュリティ拡張機能も使用してください。この機能拡張によって、プログラムがファイルやネットワークリソースへアクセスできる範囲を管理する強制アクセス制御(MAC)ポリシーが、不正なプログラムや誤った構成のプログラムによって引き起こされる被害を抑止します。侵入検知システムのインストール、継続的な監視の実行、および不審なログの検査は、システムに対する侵入の試行および実際の攻撃の早期検出に役立ちます。
最新の更新プログラムを適用することによってシステムを最新の状態に保ち、重要な企業資産であるデータを定期的にバックアップすると共に、企業周辺を確実に保護する必要があります。システム管理者は、ランサムウェアが通常利用する不審なファイル、アプリケーション、プロセス、ネットワークアクティビティについても注意する必要があります。企業や個人ユーザは、ゲートウェイ、エンドポイント、ネットワーク、およびサーバ全域を保護する多層的なセキュリティアプローチを導入することができます。
■トレンドマイクロの対策
トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。
クラウド型業務アプリケーションのセキュリティを向上させる「Trend Micro Cloud App Security™」は、トレンドマイクロが持つコア技術であるサンドボックスや、レピュテーション技術をクラウド型業務アプリケーションでも活用できる機能を実装し、セキュリティ対策を高いレベルで実現します。一方、ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。
企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security Virtual Appliance™ & InterScan Web Security Suite™ Plus」は、ランサムウェアを検出し、侵入を防ぎます。「ウイルスバスター™ コーポレートエディション XG」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。
※本記事は、2017年2月13日に米国カリフォルニア州サンフランシスコで開催された「RSA Conference」においてのプレゼンテーション「Not UNIX to Windows Anymore: A First in a Booming Ransomware Industry」をまとめたものです。
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)