エフセキュアブログ

スキャンエンジンの現状はどうなってる?

 当社のスキャンエンジンはいかに動作するのか。シグニチャエンジンや他の種類のスキャンエンジンとの違いは何か。人々(技術ジャーナリストや製品レビューを行う人など)が頻繁にこのような質問を我々に投げかける。実際に、そうした質問を先週尋ねられたばかりだ。それなら、この話題について、深く掘り下げようではないか…。

 シグニチャベースのスキャンとは、対象のファイルを判定すべく、ファイル全体のハッシュやファイルの一部のハッシュ群をリストやデータベースに照らし合わせる動作を指す。1980年代、アンチウィルスはおおよそここから始まった。1990年代初頭に多様なマルウェアが出現し、シグニチャベースの手法からより複雑なファイルスキャンエンジンへの進化に拍車をかける触媒となった。

Brain. On a floppy.
1980年代における、新たなサンプルを受け取る方法

 エンドポイントの保護ソリューションには、ファイルスキャンエンジンが含まれる。しかし実際にはファイルのスキャンだけを行っているわけではない。メモリの断片やネットワークストリームといった、あらゆる種類の入力バッファがあればスキャンする。

 ファイルスキャンエンジンは非常に洗練されてきている。アーカイブをトラバースする仕組みを持ち、複数のファイルフォーマットを解析し、静的および動的な解凍や逆アセンブリを行い、スクリプトと実行形式のファイルの双方の実行をエミュレートする。現在の検知は実際のところでは複雑なコンピュータプログラムに過ぎず、クライアント上で直接的に複雑なサンプルの分析を行うように設計されている。最近の検知では、数千の、いや数十万のサンプルを捕捉するように設計されている。かつての日々の、サンプルごとにハッシュ1件というアプローチとは程遠い。

 ご想像のとおり、洗練された検知を構築するには時間を要する。最終的に顧客にリリースするまでに、アナリストはサンプルを収集して精査し、コードを書き、テストを行わなければならない。一方で、かなりシンプルなシグニチャベースの検知は、自動的に簡単に生成することが可能だ。新たなサンプルがやってくると、一連の静的および動的な分析ツールやルールエンジンにかけられる。判定をすばやく配信するためだ。

 それゆえに、新たな脅威が出現した場合、アナリストが適切な検知コードを書く作業を行っている間に、バックエンドの自動ツールが作動し、早期にサンプルをカバーする。今日ではソフトウェアが迅速かつ簡単にインターネット経由でハッシュを参照できるため、こうしたシンプルな検知はローカルのデータベースの更新の一部として配信されることさえない。このクラウド参照メカニズムは、脅威がいつ出現するかに関わらず、出現した脅威から非常に迅速に顧客を保護できるようなるという点でメリットがある。

しかし話はこれで終わらない

 最近のすべてのエンドポイント保護ソリューションでは、複数のメカニズムを用いて、顧客を継続的に保護する。今日のエンドポイント保護がどのように作用するかについて、以下に非常に簡単な概観を示す。

  1. URLのブロック。エクスプロイトキットや他の悪意あるコンテンツを保有するサイトにユーザが晒されないようにすれば、さらなる保護手段の必要性がなくなる。当社では、この大部分をURLおよびIPのレピュテーションクラウドへの問い合わせで実現している。スパムメールのブロックや、メールフィルタリングもここで行われている。
  2. エクスプロイトの検知。エクスプロイトキットを保有するサイトにユーザがどうにかして訪れた上に、脆弱性のあるソフトウェアを実行しているのなら、脆弱なソフトウェアを悪用しようとする試みは、当社のビヘイビア監視エンジンによってブロックされる。
  3. ネットワークスキャンとアクセス時のスキャン。ユーザがメール経由またはダウンロードで悪意あるファイルを受け取ったら、ネットワーク上で、またはディスク書き込み時にスキャンが行われる。ファイルに悪意があることが判明すると、ユーザのシステムから削除される(瞬時に、隔離するために)。
  4. ビヘイビアベースのブロック。仮にそうした悪意あるオブジェクトに対するファイルベースの検知が存在しないとしたら、ユーザは悪意あるドキュメントやスクリプトやプログラムを、開いたり実行するかもしれない。この時点で、悪意ある振る舞いは当社のビヘイビアエンジンによってブロックされ、またもやファイルが削除される。結局のところ、マルウェア配信メカニズムの大半はビヘイビアに基づき簡単にブロックされるのだ。ほとんどの場合、当社が新たな脅威を見つけたときには、それが用いているメカニズムに対応するロジックをすでに大昔に追加している。

 ディスクを研磨するかのように予定されたスキャンを夜実行する昔のアンチウィルスソフトウェアが、現在使われている最新世代のエンドポイント保護へと進化してきた。最新の脅威に対し、エンドポイントを保護する最善の方法の1つは、そもそも被害者と脅威が出会うのを回避することだ。これに失敗しても、複数方面からのアプローチを用いて攻撃の媒介をブロックすることで、その場で攻撃を阻止するための複数の機会があることになる。

 ファイルスキャンとは、「アンチウィルスベンダー」がエンドポイントの保護に用いている多数のメカニズムの中の1つに過ぎない。エクスプロイトの検知およびビヘイビアによるブロックの双方により、実際にあった攻撃の媒介からたびたび守ることができているため、わざわざ(たとえば静的なシグニチャなど)ファイルベースの検知を追加しないことも多い。そして覚えておいて頂きたい。1日の終わりに、常に我々は現実世界の脅威に対して当社の保護コンポーネントの試験を行っている。製品の個別の部分だけでなく、製品全体を用いてだ。

さよならFlash!Google ChromeがHTML5をデフォルトにする予定

 先週の報道のとおり、GoogleのChromeブラウザの背後にいる開発チームは、2016年第4四半期中にHTML5をデフォルトとする計画を立てている。

 GoogleのテクニカルプログラムマネージャーであるAnthony LaForgeは次のように述べている。

 「Chromiumでは今年中に、Navigator.pluginsとNavigator.mimeTypesのデフォルトの応答を変えることにより、Flash Playerの存在をWebサイトに通知する方法の変更を予定しています。もしWebサイトがHTML5のエクスペリエンスを提供しているのなら、この変更によってHTML5が第一のエクスペリエンスになるでしょう。当社は引き続きChromeと共にFlash Playerを提供していきます。もしWebサイトで本当にFlashが必要な場合、ユーザが最初に当該サイトを訪れたときにページの最上部にプロンプトが現れ、そのサイトでFlashを許可するかどうかユーザに選択肢が与えられます」

 Google ChromeがほどなくAdobe Flashの廃止へと向かうであろうことを、今年すでに私は当社の2015年の脅威レポート上で予言していた。

Google Chrome Flash prediction

 そして、MozillaとMicrosoftもこれに続くだろう。これでワンアウト、あと2つだ…。

 脅威レポートから該当の記事を再掲する。


Flash:手の届くところにぶらさがっている最後の果実

 マルウェアによるエクスプロイトがコモディティ化して10年は経つ。2006年の間は特に顕著だったので、情報セキュリティのアナリスト達の間で、マイクロソフトの月例パッチ公開日「Patch Tuesday」の翌日を「Exploit Wednesday」と冗談めかして呼ぶようになった。迅速に対応することが、成功の鍵だ。火曜日にマイクロソフトが更新をリリースすると、その根底にある脆弱性を発見するべく、即座にリバースエンジニアリングが行われる。そして脆弱性が判明するとすぐにマルウェア攻撃で使用するためのエクスプロイトが作り上げられる。これはまだ更新していないユーザを攻撃することを目的としている。

 マルウェアキットの出現により、2006年遅くにマルウェアのコモディティ化はさらに進んだ。MPackのような初期のキットは、ますます増加する要求を満たすほど迅速に拡張ができず、それら自身の成功の餌食となった。しかしそのような成長の痛みは、マルウェアサービスによって間もなく解消され、今日では闇市場に多数のエクスプロイトキットがある。

 Exploit Wednesdayはもう終わった。マイクロソフトのソフトウェア[1]は10年前と比べ物にならないくらいセキュアになり、パッチもはるかに迅速に公表される。エクスプロイトキットは、マイクロソフトからアドビへと移行した。Acrobat Readerは(Flashも)一時期は最大の標的であった。しかしブラウザがネイティブにPDFをサポートし始めて、Acrobat Readerはほぼ不要になりつつあった。アドビ社は強力な更新サイクルを適用し、同社ソフトウェアは一時的に危険な状況から脱した。その次は、Javaのブラウザプラグインが標的として好まれるようになり始めた。群れの中の一番弱い者だからだ。ブラウザの開発者たちは、程度に差はあれ、極めて制限のある場所へとJavaプラグインを押し込めた。

 そして現時点では…、今でもエクスプロイトキットの標的となっているプラグインでは、アドビ社のFlashが最後で「最良」だ。しかし、どれだけ長い間、そうなのだろうか?

 2010年4月29日、スティーブ・ジョブスは「Thoughts on Flash(Flashについての考察)」という公開書簡を示した。ここでは、なぜアップル社がiOS機器上でFlashを許容しないのかについて説明がなされている。少なくともモバイル端末上では、その時がFlash Player終焉の始まりだと数多くの技術アナリストが指摘している。この指摘は真実だと証明された。2012年6月28日のアドビ社のアナウンスでは、Android 4.1向けの公式なFlash Playerの実装は提供せず、また2012年8月15日以降はGoogle Play経由でのインストールが制限されることになるだろうとのことだった。[2]

 それ以来Flashはデスクトップ市場にしがみついているが、見渡す限り非推奨になっている。2015年8月にはアマゾンが「2015年9月1日以降、Flash広告を受け付けない」と発表した。グーグルは2016年2月にアマゾンの先例に従った。グーグルの広告ネットワークであるAdWordsとDoubleClickも、2016年6月30日以降、Flashベースの表示広告の受け付けを停止する。また2017年1月2日には、Flashベースの広告を無効にする。

 この時点で、私は2017年前半のことを次のように予測をたてることができる。Flashベースの広告のサポートがもはや必要でなくなれば、Google Chromeブラウザは積極的にユーザが任意の種類のFlashを要求するサイトをホワイトリスト化するように求める。MozillaのFirefoxやMicrosoft Edgeでも同様になるだろう。そして2017年の春までには、エクスプロイトキットが憂慮される限りFlashは効率的に馘首されることになる。

 目に見える新たな果実がろくに無いという、破壊的な未来にエクスプロイトキットは直面している。コモディティ化されたマルウェアサービスは、現在流行中のマクロベースのマルウェアのような、添付ファイルのマルウェアの使用へとさらに転換するだろう。

 人々がダイアログを消すために「OK」をクリックするのを防ぐことができさえすればいいのだが。

[1] Silverlightは全面的に例外で、現在キットとして悪用されている。だが、NetflixはSilverlightをお払い箱にしており、願わくば同技術もすぐに絶滅するだろう。

[2] 皮肉なことに、Androidマルウェアの多くのやり取りは、Flashの更新が必要だと主張する、虚偽の広告経由でプッシュされる。Flashが存在しない場合でも、その遺産がソーシャルエンジニアリング上の脆弱性をもたらすことになる。グーグルの検索エンジニアたちは、そのような広告を表示するサイトについてChromeが警告を行うように設計し始めている。

久々に確認、埋め込みオブジェクトの悪用した攻撃

3月頃から埋め込みオブジェクトを悪用した攻撃メールをちらほら見かけます。
Outlookユーザを狙った攻撃と推測され、Outlook 2010より古いバージョンなどでは添付ファイルのコピーをそのまま保存することができません。ドラッグ&ドロップでは、偽装アイコンの画像ファイルのみが保存されることになります。そのため、標的ユーザはファイルの内容を確認するためについクリックしてしまうようです。

添付ファイル

なお、Outlook 2013からのバージョンでは埋め込まれたオブジェクトのコピーを保存することができます。取り出してみると、おなじみの(?)ドキュメントファイルを装った実行ファイルであることがわかります。

添付ファイル1

ただ、埋め込みオブジェクトであるためか若干状況が異なります。EXEファイルでは先頭にあるはずのMZシグネチャが中央付近に確認できます。その上部には埋め込んだドキュメントファイルのパスが記述されています。つまり、単純にファイルシグネチャのみでファイルの種別を判定し、解析の実行有無を決定している類のセキュリティツールでは実行ファイルであることが認識できず、該当メールを見逃してしまう可能性があります。
#現在、そのような製品があるかは未確認です。昔あったような・・・。

Hex Editor


埋め込みオブジェクトを利用した攻撃は以前から存在しているものですが、APTで利用されたものは久しぶりに見ましたので報告させて頂きました。社内のサイバーセキュリティ訓練・演習や啓発活動に使ってみてはいかがでしょうか。



アンチウイルスは終わってる?

 年に1度のAVAR (Association of Anti Virus Asia Researchers)カンファレンスのホスト役を、今年はエフセキュアが務める。マレーシアのクアラルンプールにて開催の予定だ。カンファレンスは11月30日から12月2日までだ。これが19回目のAVARカンファレンスとなるが、マレーシアで開催されるのは初めてのことだ。このイベントは一流ホテルであるグランド ハイアット クアラルンプールで開かれる。

AVAR2016
今年のテーマが活発な議論を促進することを願う

 今年のテーマは、常日頃から論争になる話題に基づいている。それは「アンチウイルスは終わっているか?」というものだ。

 たった今、当社は論文の受け付けを開始した。今年のトピックについての意見をお持ちで、賛成か反対かに関わらず議論にふさわしいと思う興味深い題材があったら、さあさあ論文を提出して!提出フォームはこちらから。

 今回のトピックに関して考え出されたものを見ることにわくわくしている。これで興味深い議論が促されることを大変期待している。

 現地でお会いできますように。

暗号化ランサムウェアのマネタイズ

 ここ数年間、仮想通貨、ダークWeb(Dark Web)、きちんと整備された犯罪者向けアフィリエイトプログラムという形で、破壊的な状況を招くように技術およびインフラの連携が取られてきた。そしてその状況から現れたのが、暗号化ランサムウェアというけだものだ。

 暗号化ランサムウェアが毎日のように報じられるのには理由がある。ここ何年かの間に目にした他のどの脅威と比べても、独特のものだからだ。暗号化ランサムウェアは被害者に実際にサービスを提供する。身代金を支払えば、ファイルを取り戻せるのだ。また派手な事例を見聞きすることも増えている。これぞ、人々がまさに行っていることなのだ。ある病院がインフラを復旧させるためにBitcoinで大枚をはたいたという最近の事例について、思い出させるには及ばないだろう。暗号化ランサムウェア業界は、毎年1億ユーロ相当の収益を得ているとの見積もりがある

 犯罪者にとって、暗号化ランサムウェアは引き続き実入りの良い金儲けの手段であり、時間の経過とともに、バンキング型トロイの木馬のような他のマルウェアのモデルから取って代わり続けている。あらゆるビジネスと同様に、モデルの投資利益率の最適化や改善に焦点がシフトするのは必然的なことだ。我々は今日のランサムウェア・キャンペーンのビジネスモデルを、インターネット時代の幕開け期のものになぞらえている。つまり、いまだに本質的に非常にシンプルで、大方は目を向けていないのだ。結論としては、まだまだたっぷりと創造性とイノベーションの余地が残されている。暗号化ランサムウェアの背後にあるビジネスモデルは、徐々に成熟しており、我々が最近になって気付いた、あるイノベーションの試みがある。

 厳選した暗号化ランサムウェア・キャンペーンでは、とりわけ米国、英国、オーストラリア、カナダといった「第1階層」の国を標的にする。このような標的を選定したことは、支出に見合う価値という観点で理にかなっている。ランサムウェア自体をローカライズする必要はないし、標的の人口動態は相対的に裕福で、一部の研究ではこの地域の被害者は実際に身代金を支払う意思があることが示されている。

 フィッシング詐欺のキャンペーンでは、別の芸当を目にした。地域に特化して注意深く調整を行い、時にはカレンダー上の行事に合わせているのだ。当社が観察した、スウェーデンで実施されたスパムキャンペーンを例に挙げると、被害者は地元の郵便局からの到着した荷物についての、説得力のあるメッセージを受け取っていた。この種の標的型の地域限定のスパムキャンペーンは目新しいものではないが、搾取率を高める目的でキャンペーンを調整したマルウェアの担い手もいる。

 一部の暗号化ランサムウェア・ファミリーでは、被害者が支払いを行いやすくなることを期待して、サポートのインターフェイスの向上に取り組んできた。サポートサイトはより直感的に理解できるようになり、(PadCryptなど)ライブチャットのインターフェイスを持つケースもある。Bitcoinの入手方法、Tor経由でサポートサイトへ接続する方法、ファイルを取り戻す方法についての説明が、より明確になり、またより適切に提示されるようになっている。驚くようなことではないが、暗号化ランサムウェアのサポートサービスは、多くの場合において、合法的な企業が運営するものよりも優れている。余談だが興味深いことに、被害者のファイル群の復号を手助けする目的で、顧客のためにBitcoinのブローカービジネスを始める、独立系のITサポート要員も確認している。

 TrueCrypterファミリーはAmazonギフト券での支払いに対応している。またiTunes Cardでの支払いを受け付けている暗号化ランサムウェア・ファミリーも見聞きしている。これは犯罪者にとってはリスキーな手立てだと考える人もいるだろう。AmazonやAppleが、これらのカードを使った人物を簡単に追跡できるであろうからだ。判明したところでは、犯罪者たちはただちにギフト券をeBayのようなサイトに流す傾向にある。これの購入者が、帰結する結果に対処するように仕向けるのだ。米国のiTunes Storeに豪華なコンテンツ・セットがあれば、ヨーロッパで米国ベースのiTunes Cardへの要求があるだろう。

 もう1つの驚くべき方向性として、ある暗号化ランサムウェア・ファミリーが、被害者に圧力をかけて強制的に支払わせようとしていることをつかんだ。我々は最近Jigsawファミリーに遭遇したのだが、これは身代金が支払われない限り、1時間おきに消し去るファイルの数を増やしていく。全ファイルが削除される締め切りまでに、被害者には72時間が与えられる。機器を再起動したり、強制的にエージェントを殺すと、直ちに1000個のファイルが削除される。こうした戦略は、テレビや映画で見てきたような人質の状況と変わりない。残念なことに、特定の戦略によって人々の支払いが増すのか減るのかを判定できるようなデータを、我々は現時点で提供できない。

Jigsaw ransomware
身代金をお支払いくださいますか?

 これまでに挙げた例では、暗号化ランサムウェアの背後にいる人物らが、いかにさまざまなビジネスモデルを試して、投資利益率を向上させようと取り組んでいるかを示している。犯罪者たちは、大規模なランサムウェア・キャンペーンでは、気付かれてしまい、やられることを学習している。少なくとも、CryptoLockerの裏にいる人物たちは数年前に学んだ。そのため彼らは最近では、すべてより小規模にキャンペーンを実施している。しかし小規模のキャンペーンというのは、巨大な法執行機関のレーダーをかいくぐるためだけに重要なわけではない。個々の感染したコンピュータや、個々の送付されたスパムメッセージのために支払いを行わなければならない世界において、利益を最大化することにとっても重要なのだ。

 当社では最近、もし暗号化ランサムウェアの被害者になってしまったら、ファイルの復号にいくら払う意思があるかをユーザに尋ねるアンケートを実施した。

 (訳注:「 このアンケートに基づくと…、暗号化ランサムウェアが1 BTCではなく0.5 BTCを請求した場合、ほぼ3倍以上になる。」という意味)

 ショーンがこのアンケートを実施した時点で、数多くの身代金は約1 BTC、つまりちょうど400ドルであった。単純な計算を行えば、上の結論に達する。半額にすれば、収益を約3倍にできる。上述の調査を行って結論を導き出すのには、過大な負荷はかからなかった。実装するのにたいしたプログラムの行数さえ必要なかった。これらのツイートで一部のマルウェアの作者に情報を与えてしまったかは定かでないが、最近、身代金が低価格化している傾向をつかんでいる。

 ただ、この情報を手に入れたランサムウェアの作者ばかりではなかったようだ。ほんの数日前、新たな種族の暗号化ランサムウェアが出現した。これは身代金を義援金だとうたっている。しかしながら、5 BTC、つまり記事を書いている時点で約2,200ドルなのだ。だいたいの人はそんなに気前よくない、と我々は思う。

 この先いつの日か暗号化ランサムウェアで用いられる価格体系に、より高度で洗練されたものが適用されているのを見ることになると予期している。現時点では、当該ソフトウェアはかなり知力を欠いていて、すべての感染したマシンで身代金を固定額で設定している。我々はある時点で変動価格体系がお目見えすると予想している。おそらく暗号化されるファイルの数や種類に基づくなり、マシンが個人所有のコンピュータかサラリーマンが使っているものかをソフトウェアが検知するなりするのだろう。1 BTCという身代金は大半の個人にとってはちょっと高額だが、多くの企業にとっては微々たる金額だ。

 数多くの暗号化ランサムウェア・ファミリーはすでにネットワーク共有にも感染させるように試みているが、インテリジェントな方法で行っているものはない。理論上、被害者は1回支払えば、ネットワーク共有のファイルも含め、全ファイルを取り戻せる。この理由から、開発者たちがソフトウェアに知能を組み込んで、より効率的にネットワーク中に伝播させるのを、我々は目撃することになると予期している。感染させるマシンの数を増やし、再度触れるが、環境に応じて身代金の額を決めるのだ。

 クライムウェアのアフィリエイト・ネットワークやマルウェア・キャンペーンの裏にいる人物たちは、すでにビジネス的な判断力の旺盛さを示している。こうした人達がもうけ、つまり投資利益率を最大化する仕事を与えられたとき、価格体系や、使いやすさ、ネットワークでの伝播、あるいはスマートな標的選定に基づき、ソフトウェアやプロセスのモデルをより創造的に考案することは、想像に難くない。近い将来、暗号化ランサムウェアで使われるビジネスモデルとマネタイズモデルの双方で、洗練度が増すのを見る羽目になるのを我々は十分に予想している。

TeslaCryptの要約

 2年前、ランサムウェアについての一連のブログ記事を公開した折には、活発なランサムウェア・ファミリーは一握りしかなかった。しかしながら今年は、ランサムウェアがサイバー犯罪者達を熱狂させる最新の流行マルウェアとなった。

 そのため、我々は当社の若きTET(訳注:後述)の生徒Miroに、ランサムウェアの歴史、とりわけTeslaCryptの歴史についての短いレッスンを受けさせようと考えた。なぜならTeslaCryptは、いまだに流行っている、比較的「古い」ランサムウェアの1つだからだ。

 以下は、その彼の研究結果だ。


 TeslaCryptはランサムウェア・ファミリーに分類される。ランサムウェアが被害者のコンピュータに侵入すると、被害者のファイルを暗号化する。サイバー犯罪者たちが求めるもの、つまり金を得るまでは、暗号化したファイルはそのままだ。

 TeslaCryptは支払い方法としてBitcoinに加え、初めてPayPal My Cash Cardを追加したものの1つだ。

 TeslaCryptは通常のドキュメントや画像のファイルを暗号化するだけでなく、ビデオゲーム関連のファイルも標的にすることで知られるようになった。とりわけCall of Duty、Minecraft、League of Legends、Steamに関連付けられたファイルだ。

 これまでのところ、TeslaCryptには4つのバージョンがある。2015年2月に最初に発見され、最新のものは2016年3月に特定された。

 最初のバージョンでは、RSA-2048を用いていると称していたが、実際には暗号化方式としてAESを使用していた。暗号化されたファイルの名前には、.ECCという拡張子が付けられた。

Your presonal files are encrypted!

What happened to your files?

 TeslaCryptの2つ目のバージョン、つまりTeslaCrypt 2.0は、2015年7月辺りに出現した。同バージョンでもやはりAESを用いているのにも関わらず、RSA-2048のアルゴリズムを採用していると主張していた。暗号化されたファイルの拡張子は変更され、たとえば.VVVや.ABCといったものになった。身代金の要求も変わった。HTMLページ、テキストファイル、壁紙またはフォトギャラリー中の画像の3つの異なるフォーマットで提示される。この2つのバージョン間の違いは、文章だけでなく脅迫メッセージの外観に見て取れる。読みやすくするために、タイトルと章が追加された。新たな身代金の要求では、支払いまでの残り時間のカウントダウンも削除された。

TeslaCrypt 2 - What happened to your files?

 TeslaCrypt 3.0は2016年1月に発見された。TeslaCrypt 3.0では暗号化にRSA-4096を用いていると主張しているが、やはり依然としてAESを使用している。しかしながら、このバージョンでは暗号キー交換アルゴリズムは異なるものを使用しており、暗号を破るのが一層困難になっている。このバージョンでのもう1つの違いは、暗号化されたファイルの拡張子に.MP3、.XXX、.TTT、.MICROが使用される点だ。HTMLの脅迫メッセージはTeslaCrypt 2.0と同じだが、テキストファイルのフォーマットが以下のように多少変更になった。バージョン3.0ではGoogle Translateへのリンクが含まれており、「What does this mean」という行が削除された。

TeslaCrypt 3 - What happened to your files?

 TeslaCrypt 4.0はTeslaCryptランサムウェア・ファミリーの最新版だ。これは2016年3月前後に初お目見えした。同バージョンとそれ以前のバージョンとの最大の違いの1つは、4.0では暗号化されたファイルの拡張子に.VVVや.MP3といったものを使わないことだ。また、以前のバージョンでは、4GBを超えるファイルを暗号化する際に破損してしまうというバグがあった。最新バージョンではこのバクは修正されている。被害者のコンピュータに関するさらなる情報を探ろうと試み、犯罪者のネットワークへ情報を送信することもする。

 TeslaCrypt 4.0もやはり暗号化にRSA-4096を用いていると主張しているが、依然としてAESを使用している。身代金の要求の外観には変化はないが、TeslaCrypt 4.0と3.0で中に書かれた文章には相当な数の違いがある。たとえば3.0では「What happened to your files」と書かれているが、4.0では「What’s the matter with your file」だ。TeslaCrypt 4.0ではまた、バージョン2.0から「What does this mean」という行を戻している。

TeslaCrypt 4 - What's the matter with your files?

その他の情報源:


記述および調査:Miro Ikaheimonen


 著者によるメモ:私はフィンランドのヘルシンキにいる中学生で14歳です。エフセキュア社で5日間のTET(Tyoelamaan tutustuminen、訳注:フィンランドのインターンシップ制度)プログラムを行っている最中です。なぜ、エフセキュアを選択したのでしょうか?通信技術に興味があったのと、学校のプロジェクトでミッコ・ヒッポネンにインタビューする機会もあり、エフセキュアのマルウェアとの戦いに興味を抱くようになったためです。ここでは楽しい時間を持ち、マルウェアについての新しい内容をたくさん、特にランサムウェアとそれと戦うことについて学びました。

Miro

ブラウザとメール:マルウェア配信における最大の攻撃経路

 エフセキュアラボでは、顧客が一般的に遭遇するような普及している脅威について継続的に監視している。脅威の大勢を観察する際、我々はサイバー犯罪者が用いる感染経路を調査する。また、こうした攻撃から顧客を保護する効果的な方法を探る。

 以下は、当社の顧客を保護した検知の上位10件である。なお、上位2つはエクスプロイトとスパムメールに関連している。

top10_worldmap_20160428

 まず、最上位にランクされた検知について見ていこう。

ブラウザ経由での攻撃:Angler EK(エクスプロイトキット)

 当社における検出でExploit:JS/AnglerEK.DとなるAngler EK(現在もっとも活動的なエクスプロイトキット)は、当社の世界地図上の統計で最上位の1つになっていることが多い。

 ここ24時間で、同エクスプロイトキットは攻撃的なキャンペーンを再開したように見える。

AnglerEK_hits_20160428

 ユーザは大抵の場合、侵害されたWebサイトを訪れることで感染する。こうしたWebサイトには、インジェクションするリダイレクタのスクリプトや、悪意ある広告(マルバタイジング)が含まれている。このキャンペーンでは、ヒットするのは侵害されたWebサイトからだが、一部はOpenXの広告プラットフォーム経由でもやってくる。

angler_adplatform_blur

 Angler EKは、ワンクリック詐欺のトロイの木馬をインストールすることで知られているBedepを配信し続けている。また、最近ではランサムウェアCryptXXXもインストールする。

angler_saz_20160427_blur

メール経由での攻撃:JavaScriptのダウンローダ

 当社の統計で2番目に多く検知したのは、JavaScriptのダウンローダであるTrojan:JS/Kavala.Dだ。このJavaScriptのダウンローダは、大抵の場合スパムメールに添付されたzipファイルに格納されて届く。当社のテレメトリー上で急上昇を引き起こした、現行のスパムキャンペーンのメールのサンプルを以下に示す。

locky_spam1

locky_spam2

 Locky、TeslaCryp、Dridex、GootKit、Kovter、Boaxxe、Gamarueのようなマルウェアを配信するスパムキャンペーンにおいて、過去数か月の間、ダウンローダとしてJavaScriptを使用するケースが増加しているのを当社では目撃してきた。通常、このようなスパムは様々なテーマで届く。「請求」「写真共有」「支払・注文」「履歴書」「スキャン画像」「VISAの景品」「宅配便の通知」「保険」「Amazonの注文」といったものだ。攻撃者は被害者の範囲を広げるべく、より大きな網を打とうとしているのだ。

 JavaScriptのダウンローダで使用されているファイル名の例を以下に挙げる。

0061705_006774.js
CAN0000013502.js
20160403_914618_resized.js
01c4b975.js
details.jse
63e0f3bc.js
2016 Sales Invoice 700422016.pdf.js
bill.js
copy.js
ADCWYuEi.js
dino kennedy.js

 今回のキャンペーンでは、JavaScriptのダウンローダはランサムウェアLockyの配信を試みる。

locky_blur
Lockyの脅迫メッセージ

 当社の世界地図上でのこれら2つの検知は、マルウェアを配信する最大の攻撃経路がブラウザとメールであることを示唆している。

 顧客の皆さんには、常にブラウザおよび、Flash PlayerやSilverlightといったプラグインを最新バージョンに更新するように注意喚起する。また使用しないのであればプラグインを無効にすることをお勧めする。スパムについては、メールの添付ファイルには慎重になるようにアドバイスする。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード