Iphone

「KeRanger」解説:この新しいMacランサムウェアが深刻な脅威となる理由

「KeRanger」解説:この新しいMacランサムウェアが深刻な脅威となる理由

コーリー・ナクライナー

シャッターストック。
シャッターストック。

2016年はランサムウェアの年になりつつありますが、脅威の動向を追っている人にとっては当然のことでしょう。サイバー恐喝の最新トレンドはKeRangerと呼ばれ、潜在的な被害者層を大幅に拡大することで、ランサムウェアの動向を永遠に変える可能性を秘めています。

ランサムウェアとは何ですか?

ランサムウェアについて聞いたことがない人のために説明すると、これは悪意のあるソフトウェアの一種で、攻撃者がユーザーのコンピューターまたはそのデータを人質に取り、制御を取り戻すために脅迫するために使用されます。ランサムウェアの亜種はここ数年で2倍、3倍に増加しており、LockyやRansom32など、多くの新しい効果的な亜種が今年すでにユーザーを襲っています。最近になって勢いを増しているとはいえ、この種の攻撃はおそらくあなたが思っているよりもずっと古くから存在しており、最初の例は80年代後半にフロッピーディスク経由で出てきたAIDSトロイの木馬です。それ以来、犯罪者は、コンピューターの起動を妨害しようとする脅威から、偽の警察のメッセージを表示するものまで、さまざまな種類のランサムウェアを作成してきました。しかし、サイバー犯罪者がランサムウェアで実際に効率的に金銭を稼げるようになったのは、2013年後半になってからでした。

何が変わったのでしょうか?攻撃者は暗号化ランサムウェアを発見し、改良しました。暗号化ランサムウェアは、被害者のコンピュータ上の重要なファイルを探し出し、暗号化するランサムウェアの一種です。今日の暗号化ランサムウェア(CryptoLockerやCryptoWallなど)は、解読が非常に困難な強力な暗号化を使用し、匿名ネットワークを活用してコマンド&コントロールサーバーを保護し、追跡が困難な決済システム(ビットコインなど)を悪用することで、当局による資金の流れの追跡を困難にしています。

KeRanger が他と異なり、関連性が高い理由は何ですか?

表面的には、KeRanger は他の暗号化ランサムウェアの亜種と似ているように見えますが (重要なファイルを暗号化し、恐喝メッセージを残し、ファイルを取り戻すために 1 ビットコイン (400 米ドル) の支払いを要求します)、次の 3 つの点が非常に独特で、革新的ですらあります。

  1. KeRangerは、Apple OS Xコンピュータを効果的に標的とする初の暗号化ランサムウェアです。Appleユーザーはマルウェアに感染しないと思いがちですが、KeRangerはそれが間違いであることを証明しています。研究者や犯罪者がいくつかのOS Xランサムウェアのサンプルを試してきましたが、KeRangerほど効果的に拡散したり、ファイルを暗号化したりしたものはありません。
  2. KeRangerは、非常に高度なサプライチェーン攻撃を利用して拡散しました。通常、マルウェア作成者は、巧妙なリンクや添付ファイルを添付したランサムウェアメールを拡散させたり、ネットワークやソフトウェアの脆弱性を突いたり、ボットネットから配信したりします。しかし、今回のケースでは、攻撃者はTransmissionという正規のOS Xトレントクライアントのウェブサイトを乗っ取りました。彼らはインストーラーの「トロイの木馬化」バージョンを作成し、OS Xのセキュリティコンポーネントが信頼する正規の開発者デジタル証明書で署名しました。つまり、通常は正規のソフトウェアであるこのソフトウェアをインストールした人は、何の警告もなく感染してしまうということです。このレベルの侵害は、KeRangerキャンペーンの背後にはかなり高度な脅威攻撃者がいたことを示唆しています。
  3. KeRangerは、Linuxベースのランサムウェア亜種であるLinux.encoderの移植版です。これまでランサムウェアは主にWindowsコンピュータに影響を与えてきました。しかし、2016年の私の予測の一つは、ランサムウェアがクロスプラットフォーム化し、AndroidやiOSなどのモバイルOSを含む、より幅広いOSに影響を与えるというものでした。今回の脅威アクターが試験的なLinuxバージョンから始めて、それを改変しOS Xに影響を与えるようになったことは、その予測を裏付けていると言えるでしょう。

暗号化ランサムウェア攻撃者を撃退するにはどうすればよいでしょうか?

KeRangerについて少し理解できたところで、どうすれば回避できるのか疑問に思われるかもしれません。ランサムウェアによる被害やファイルの損失を防ぐには、以下の6つのヒントが役立ちます。

  1. Macはマルウェアから逃れられない! – Appleユーザーなら、Macはマルウェアに対して無敵だという考えはもう捨てましょう。Appleの魅力的なマーケティングキャンペーンやファンの主張とは裏腹に、Macは攻撃やセキュリティ問題に対して無敵だったことはありません。むしろ、Macは目立たないことでセキュリティの恩恵を受けてきたのです。信じられないかもしれませんが、サイバー犯罪者は金銭に執着し、高い投資収益を求めています。あまり馴染みのないオペレーティングシステム向けにマルウェアを作成する方法を見つけるのは容易ではありません。しかし、Macの人気が高まった今、犯罪者がMacを標的にし始めている兆候が数多く見られます。Macにもウイルス対策が必要です。
  2. 怠けずにバックアップをしましょう。ランサムウェアを完全にブロックすることに興味があるのは承知していますが、セキュリティにおいて完璧な解決策は一つではありません。ランサムウェアの脅威を完全に軽減する最善の方法は、たとえ感染したとしても、実際に影響を受けないようにすることです。ファイルを定期的にバックアップしておけば、たとえ怪しい犯罪者に暗号化されたとしても、いつでも復元して先に進むことができます。ランサムウェアは、重要なデータを実際にバックアップしている人や組織がいかに少ないかを証明しました。常にバックアップを取ることで、サイバー保険として安心感を得ましょう。
  3. クリックする内容に注意してください– ほとんどのランサムウェアは、怪しい添付ファイルやウェブリンクを含む悪意のあるメールを通じて配信されます。メール内の迷惑コンテンツには触れないようにし、ウェブを閲覧する際にはクリックする内容に注意してください。また、信頼できるソースからのみソフトウェアをダウンロード・インストールすることをお勧めします。例えば、OS Xユーザーは、Apple Store以外からのソフトウェアのインストールをMacに制限できるようになりました。高度な技術を持つ攻撃者が悪質なソフトウェアをApple Storeに紛れ込ませることは稀ですが、非常にまれです。
  4. エンドポイント保護を使用する– ノートパソコンやコンピューターを自宅やオフィスの外で使用している場合は、エンドポイントセキュリティスイートで保護する必要があります。これらのスイートには、ファイアウォール、マルウェア対策ソフトウェア、その他のセキュリティ制御層が含まれており、最も明白な脅威による感染を防ぎます。繰り返しになりますが、ポイント1をご参照ください。Macユーザーであっても、今すぐエンドポイントセキュリティソフトウェアを使用する必要があります。
  5. 高度な脅威保護の導入を検討しましょう。ビジネスネットワークを管理している場合、既に多層的なネットワーク防御を敷設しているかもしれません。これは良いことですが、高度な脅威保護(ATP)ソリューションの導入も検討してみてください。従来のウイルス対策やマルウェア対策ソリューションは、新たな脅威を検知するためにシグネチャに大きく依存しています。一方、ATPソリューションは、プロアクティブに動作を監視し、これまでに確認されていない新しいマルウェアを特定します。ランサムウェアの作成者は、シグネチャソリューションをすり抜けるために、文字通り毎日、あるいは毎時間のようにマルウェアを改良し続けています。最新の脅威を検知するには、より高度なマルウェア検出ソリューションが必要です。
  6. 身代金を支払わないでください! – このアドバイスをしても、誰もが従うとは限らないことは承知しています。結局のところ、重要な患者のケアファイルにすぐにアクセスする必要がある病院や、何千もの動画や写真を一箇所に保管している新米の親にとって、これらのファイルへのアクセスを突然失うことは受け入れがたいことです。これは複雑な問題であり、アクセスを取り戻すためにどこまでするかは、人それぞれ判断が異なるでしょう。とはいえ、身代金を支払うことには2つの大きな問題があります。まず、彼らは犯罪者です!攻撃者がデータを復旧してくれる保証はありません。次に、そしてさらに重要な点として、身代金を支払うことは攻撃者の行動を助長することになります。身代金を支払うことは、これが儲かるサイバー犯罪の戦略であることを証明しており、ランサムウェア攻撃がここ数年で急増している理由でもあります。最近、FBI捜査官は、被害者が本当にファイルを取り戻したい場合、身代金の支払いを勧めなければならない場合もあると述べました。しかし、これはひどいアドバイスだと私は思います。支払いを続けるなら、引き続き標的にされることを覚悟すべきです。

ランサムウェアが凶悪なのは、あらゆる人々を平等に標的とする脅威だからです。一般消費者からおばあちゃんまで、銀行、クリニック、重要インフラ組織に至るまで、誰もが重要なデジタルデータを保有しており、ビジネスに役立てています。ランサムウェアが効果的なのは、そうしたデータを直接標的にするからです。この記事から何かを学ぶとすれば、ランサムウェアは2016年最大のサイバー脅威になる可能性が高いこと、そしてどんな種類のコンピューターやモバイルデバイスを使っていても影響を受ける可能性があることを理解できるでしょう。上記のヒントを念頭に置いて、ランサムウェアの標的にならないように身を守りましょう。重要なファイルの保護は、自分自身で行いましょう。