チートツールに偽装しフォートナイトプレイヤーを狙うランサムウェア「Syrk」

オープンソースの暗号化型ランサムウェアの亜種(トレンドマイクロでは「RANSOM.MSIL.SYRK.A」として検出)がオンラインゲーム「フォートナイト(Fortnite)」のプレイヤーへの攻撃に利用されています。フォートナイトは2019年3月の時点で2億5,000万人のプレイヤーを抱えるオンラインビデオゲームです。セキュリティ企業Cyren のリサーチャー MaharlitoAquinoとKervin Alintanahinの調査によると、ランサムウェアは、敵に照準を合わせる精度を上げ(AIMBOT)、マップ上の他のプレイヤーの位置を可視化すると謳うチートツールを装っていることがわかりました。プレイヤーがこのチートツールのファイルをダウンロードして実行すると、プレイヤーのコンピュータに保存されている画像、動画、音楽、ドキュメントなどが、「Syrk(サーク)」と呼ばれるランサムウェアによって暗号化されます。

図1:「Syrk」の脅迫状
図1:「Syrk」の脅迫状

■ランサムウェアSyrkの仕組み

リサーチャーは、このオープンソースのランサムウェアが、別のランサムウェア「Hidden-Cry(ヒドゥンクライ)」のソースコードをベースにしていることを確認しました。Hidden-Cryのソースコード は、2018年末にGithubからの取得が可能になっています。ゲームプレイヤーが12MBの実行ファイル「SydneyFortniteHacks.exe」をダウンロードすると、プレイヤーのコンピュータのファイルは暗号化され拡張子「.syrk」が加えられます。

感染すると脅迫状(復号代金要求文書)が表示され、復号のためのパスワードと引き換えに身代金を要求してきます。また、脅迫状は、2時間以内に身代金が支払われない場合、デスクトップのファイルに続いて写真フォルダが削除されることになる、と警告します。

驚くことに、このランサムウェアには復号ツールが同梱されていることをリサーチャーは発見しました。また、実際に発見された復号ツールを使用して、暗号化されたファイルを復号できることも確認しました。ランサムウェアの不正コード内には複数のファイルが埋め込まれていますが、そのうちの1つはdh35s3h8d69s3b1k.exeというファイルで、これが実はHidden-Cryの復号ツールです。すでに公開されている復号鍵を使ってツールを用いると、復号のためのPowerShellスクリプトを作成することができます。

図2:図1の「Show-My-ID」ボタンをクリックすると表示される復号鍵入力の画面
図2:図1の「Show My ID」ボタンをクリックすると表示される復号鍵入力の画面

図3:復号鍵を入力し、「Decrypt my Files」をクリックすると表示される複合開始ボタン
図3:復号鍵を入力し、「Decrypt my Files」をクリックすると表示される復号開始ボタン

■ランサムウェア被害に遭わないためには

フォートナイトプレイヤーのコミュニティは、サイバー犯罪者にとって魅力的な標的となります。プレイヤーは、うますぎる話に対して警戒する必要があります。マルウェアの作成者は新しい検出回避術や拡散方法の試行を常に継続しています。最新の手口を知り、警戒を継続する必要があります。 以下はSyrkのようなランサムウェアの被害に遭わないためのベストプラクティスです。

  • ファイルを定期的にバックアップする。バックアップが完全であることを確認する。
  • 最新の脆弱性を利用する攻撃から保護するためにソフトウェア、プログラム、アプリケーションを定期的に更新し、最新のバージョンに保つ。

■トレンドマイクロの対策

トレンドマイクロでは、法人利用者、個人利用者それぞれにランサムウェア対策を提供しています。

法人利用者では、複数のレイヤーを複数の技術で守る、多層防御が特に効果的です。防護のポイントとして、メール、Webなどのゲートウェイでの防御、エンドポイントでの防御、内部ネットワークとサーバでの防御が特に重要です。ゲートウェイでの防御としては、「InterScan Messaging Security™ Virtual Appliance」、「Trend Micro Hosted Email Security」、「Cloud Edge™」などのメール対策製品や、「InterScan Web Security™ Virtual Appliance & InterScan Web Security Suite Plus」などの Web 対策製品が有効です。メール対策製品「Deep Discovery™ Email Inspector」や「Trend Micro Cloud App Security™」などで使用可能なサンドボックス機能も未対応のランサムウェアの検出に有効です。

法人向けのエンドポイント製品「ウイルスバスター™コーポレートエディション XG」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「FRS」技術によりウイルス検出と同時に、挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。特に「ウイルスバスター™コーポレートエディション XG」はクロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。

ネットワーク型対策製品「Deep Discovery™ Inspector」は、「脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security™」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター™ クラウド」は、「FRS」技術によるウイルス検出、挙動監視機能(不正変更監視機能)により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。同時にスパムメールの検出や、不正なURLをブロックすることによって、総合的な保護を提供します。
参考記事:

翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)