「TrendLabs(トレンドラボ)」は、2013年12月21日、注目すべき特徴を備えた「CryptoLocker(クリプトロッカー)」の亜種を確認しました。それは、ワーム活動の機能を備えるものです。
問題の亜種は、トレンドマイクロの製品では「WORM_CRILOCK.A」として検出され、解析の結果、リムーバブルドライブを媒介に拡散する「USBワーム」活動を行うことを確認しました。今回更新されたワーム活動機能は、非常に重要であると考えます。というのも、これまで確認されてきた「CryptoLocker」の亜種(「CRILOCK」ファミリ)にはみられなかったためであり、このワーム活動機能によりこれまでの「CryptoLocker」の亜種と異なり、容易に拡散することを示唆しています。
この新たな「CryptoLocker」は、ワーム活動の手法以外にも、既知の亜種に対して多くの相違点を持っています。この「CryptoLocker」は、PC への侵入方法として「UPATRE」のようなダウンローダに依存する代わりに、ピアツーピア(P2P)のファイル共有サイト上で “Adobe Photoshop” や “Microsoft Office” といったさまざまなソフトウェアの「アクティベータ」を装って配布されていました。P2Pサイト上に「CryptoLocker」をアップロードすることにより、サイバー犯罪者たちはスパムメールを作成および送信する必要がなく、容易に複数の PC に感染させることが可能となります。
「WORM_CRILOCK」のさらなる解析により、以前の亜種に比べ、明確な違いがあることがわかりました。この新たな「CryptoLocker」は、接続先ドメイン名を生成する仕組みである「Domain Generation Algorithm(DGA)」を利用せず、自身にハードコード化されたコマンド&コントロール(C&C)サーバを利用します。ハードコード化された URL は、関連する不正な URL の検出およびブロックを容易にします。一方、DGA は、大量の潜在的なドメインを利用するため、サイバー犯罪者は検出を回避することが可能になります。つまりこの新たな「CryptoLocker」は、いまだ改良の過程にあることを意味しています。そのためトレンドラボでは、次の亜種は、DGA の機能を備えるであろうと予想しています。
最新の「CryptoLocker」の亜種とその他の亜種の違いから、セキュリティ関係者の中には、この「CryptoLocker」は模倣犯により作成されたものだと考えるものもいます。しかし、作成者に関係なく、「WORM_CRILOCK.A」は、サイバー犯罪者たちに好んで利用される新たな攻撃手法になる可能性があることを示しています。
ユーザは、ソフトウェアのコピーを手に入れるために P2Pサイトを利用することは避けるべきです。常に公式の Webサイトや信頼のおける Webサイトからソフトウェアをダウンロードしてください。「WORM_CRILOCK」の USBワーム活動を考慮すると、ユーザは、USBメモリなどの使用時も注意する必要があります。普段使用していない PC や見知らぬ PC には、決して USBメモリなどを接続しないでください。本ブログの投稿、「ランサムウェア「CryptoLocker」に感染しないためにすべきこと」では、「CryptoLocker」から PC やネットワークを守るさらなる方法を詳説しています。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。また、「ファイルレピュテーション」技術により、上述の「CryptoLocker」を検出し、削除します。そして、挙動監視機能サービス「AEGIS」により、「WORM_CRILOCK」に関連するすべての脅威を検出し防御します。
※協力執筆者:Mark Manahan および Jimelle Monteser
参考記事:
by Abigail Pichel (Technical Communications)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)
