2017 年 6 月 10 日、韓国の Web ホスティング企業「NAYANA」が管理する 153 台の Linux サーバが暗号化型ランサムウェア「Erebus(エレブス)」(「RANSOM_ELFEREBUS.A」として検出)の亜種に感染したことが判明し、大きな注目を集めています。この攻撃により、NAYANA のサービスを利用するおよそ3,400 の企業の Web サイト、データベース、マルチメディアファイルが影響を受けています。
同社の Web サイトで公開された通知によると、サイバー犯罪者に対して既に身代金が支払われているようです。同社は、感染したファイルの復号に必要なキーを受け取るための 3 回に分けた支払いの初回を終えていますが、復号化キーはまだ受け取っていません。
■Erebusが進化し「User Account Control」を回避する脆弱性攻撃ツールを利用
Erebus(「RANSOM_EREBUS.A」として検出)は、2016 年 9 月に初めて確認され、「malvertisement(不正広告)」により拡散。不正広告により脆弱性攻撃ツールである「Rig Exploit Kit」が組み込まれた Web サイトに誘導し、最終的にランサムウェアに感染することになりました。今回利用された Erebus の亜種は 423 種類のファイル形式を対象とし、「RSA-2048アルゴリズム」を用いてファイルを暗号化します。暗号化されたファイル名には「.ecrypt」という拡張子が付加されます。また、コマンド&コントロール(C&C)サーバとして、改ざんした韓国の Web サイトを利用していることも確認されています。
2017 年 2 月には、手法を変化させたErebusが確認されています。この亜種は、システムに対する未許可の変更を防ぐWindowsの機能「User AccountControl(UAC)」を回避し、権限を昇格してランサムウェアを実行します。身代金請求文書には、もし 96 時間以内に「Bitcoin(ビットコイン)」による 0.085 BTCの身代金(2017年6 月 15 日時点で 216 米ドル相当)が支払われなかった場合、Erebus は被害者のファイルを削除すると記載されています。
この亜種(「RANSOM_EREBUS.TOR」として検出)は、暗号化したファイルの復元を妨げるために、シャドウコピーの削除も実行します。
■今回確認されたErebus はサーバにも感染
NAYANA のサーバを感染させた Erebus は、Linux サーバに対応した亜種です。現在進行中のトレンドマイクロの解析によると、このバージョンは、ファイルを暗号化するために利用した「AES キー」を暗号化するために「RSA アルゴリズム」を用いていることが確認されています。また、PC やサーバの再起動後にも不正活動を継続するため、偽「Bluetooth」のサービスを追加します。さらに、1 時間毎にランサムウェアが動作しているかどうかを確認するために「UNIX cron」を利用します。これは、Linux のような Unix 系 OS のコマンドあるいはシェルスクリプトを用いたジョブ管理機能です。NAYANA の事例と同様にビットコインによる身代金の支払いを要求しており、元の金額は10BTC(24,689米ドル相当)でしたが、後に5 BTC(12,344米ドル相当)に下げられています。
この亜種は 433 種類のファイル形式を対象とします。下記はその一例です。
- Office 文書:「.pptx」「.docx」「.xlsx」
- データベース:「.sql」「.mdb」「.dbf」「.odb」
- 圧縮ファイル:「.zip」「.rar」
- 電子メール:「.eml」「.msg」
- Web サイトおよび開発プロジェクトファイル:「.html」「.css」「.php」「.java」
- マルチメディア:「.avi」「.mp4」
Erebus 以前にも、Linux の PC またはサーバを狙ったファイル暗号化型ランサムウェアは存在します。「Linux.Encoder」、「Encryptor RaaS」、「KillDisk」の亜種、「Rex」「Fairware」「KimcilWare」などはすべて Linux PC を狙う能力を備えていました。実際、早くも 2014 年には Linux を狙ったランサムウェアが確認されており、これは本来教育目的で設計されたオープンソースプロジェクトから派生したマルウェアでした。また、「SAMSAM」、「PETYA」、「CRYSIS」は、Linux サーバを狙って攻撃することが知られているランサムウェアのファミリです。
Linux を狙ったランサムウェアは、Windows 版に比べて未熟ではあるものの、依然としてユーザや特に企業に対して大きな影響を及ぼす可能性があります。NAYANA が良い例ですが、Linux はさまざまな業界でますます利用されている OS であり、サーバやデータベースから Web 開発およびモバイル機器に至る法人業務にとって不可欠な要素です。例えば、データセンターやホスティング/ストレージサービスプロバイダでも Linux が一般的に利用されています。
■Linux PC およびサーバを守るために推奨される対策
Erebus のようなランサムウェアが法人の業務・評判・収支に与える影響を考えると、企業の業務プロセスを支援する PC およびサーバの安全を守ることがいかに重要であるかが分かります。さらに、ランサムウェアがエンドポイントだけでなくサーバやネットワークに感染した場合、その被害はさらに深刻なものとなります。以下は、PC およびサーバのセキュリティを強化するために IT/システム管理者および情報セキュリティの専門家が取り得る対策です。
- PC とサーバを最新の状態に保つこと。パッチによる修正を反映し、カーネルを最新に保つために、厳格なパッチ管理ポリシーを採用してください。
- サードパーティ製あるいは未知のリポジトリやパッケージの追加を極力避けること。これにより PCやサーバに対する侵入口として利用され得る脆弱性を制限することが可能です。また、さらに危険性を低減するために、サーバにおける不要なコンポーネントの削除やサービスの無効化も有効です。
- 「最小権限の原則」の適用。Linux の権限管理機能を利用し、プログラムによる PC への変更を制限することが可能です。許可や権限を制限することにより、未許可の動作を防ぐだけでなく、さらなる露出と被害を軽減することができます。プログラムが PC やネットワークにアクセスできる範囲を管理する拡張機能の利用もご検討ください。
- ネットワークトラフィックの積極的な監視と検証。脅威からネットワークを守ることは企業の義務と言えるでしょう。ファイアウォールと侵入検知および防御システムは、マルウェアへの感染を引き起こし得るトラフィックを特定しブロックします。また、イベントログからは、侵入の試みや実際の攻撃を検出するための情報を得ることができます。
- ファイルのバックアップ。恐怖心に付けこむランサムウェアへの効果的な対策は、PCやサーバに保存されたファイルを定期的にバックアップすることです。最低でも 3 つの複製を作成し、2 つは異なる形式で、1 つは離れた場所に保存してください。
- ネットワークのセグメント化とデータの分類。ネットワークのセグメント化により感染の拡散を抑え、データの分類により攻撃の被害を軽減することが可能です。
■トレンドマイクロの対策
「Trend Micro Deep Security™」は、物理環境、仮想化環境、クラウド環境、コンテナ環境などのサーバ環境に関わらず、ランサムウェアの攻撃から企業のサーバと業務情報を守ります。ネットワークの脅威からは、ソフトウェアに正式なパッチが適用されるまでの間、仮想パッチを用いて脆弱なサーバを防御する「IPS(侵入防御)」と「ファイアウォール」によって守ります。また、優れた「不正プログラム対策」および「挙動監視」により、不正活動を直ちに停止し、ランサムウェアを含むマルウェアの侵入を許しません。さらに、システムセキュリティ機能も備えており、「アプリケーションコントロール」が未許可のアプリケーションをブロックし、「変更監視」がランサムウェアを含む「侵入の痕跡(Indicatorsof Compromise、IoCs)」を検出します。
参考記事:
- 「Erebus Linux Ransomware: Impact to Servers and Countermeasures」
by TrendLabs フィリピン
翻訳:澤山 高士(Core Technology Marketing, TrendLabs)