進化する攻撃方法 3

ランサムウェアとは

ランサムウェアとは、身代金を意味する英語「Ransom」とソフトウェアを意味する英語「Software」を組み合わせた造語です。
感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムはランサムウェアと呼ばれています。

特定の制限とは、下記のようなパターンに分類されます。

・パソコンのロック
OSの起動に必要な領域が書き換えられることにより、正常に起動できなくする

・パソコン内データの暗号化
パソコンの一部のファイルを暗号化し、正常に開けなくする

パソコン内のデータが暗号化されても、「ファイルの拡張子が変わる」 「壁紙が変わる」「金銭要求をするウインドウが出る」といった画面上の変化はないため、感染に気づきにくいというのも特徴のひとつです。

また、1台が感染すると、ネットワーク経由で複数のコンピュータに感染が広がるタイプのランサムウェアもあり、2017年前半には世界中で被害が拡大しました。

さらに深刻なのは、感染してすぐにこれらの暗号化が実行され他のパソコンに広がるのではなく、しばらく潜伏期間をおいて、一定の期間が経過してから暗号化や感染を拡大していくため、いつ感染したのが特定されにくいケースが増えています。

ランサムウェアは、世界規模で被害が拡大しているため、2016年7月にはランサムウェアの被害低減を目指す国際的なプロジェクトとして「No More Ransom(ノーモアランサム)」が設立されました。

「No More Ransom」は、欧州刑事警察機構(ユーロポール)、オランダ警察などにより設立され、ランサムウェアの危険性と対策に関する情報を公開し、無料復号ツールなどランサムウェアの被害者に有用なツールの提供を目的として活動しています。2017年7月25日現在、同プロジェクトに参加している各国法執行機関やセキュリティ関連の民間組織等は100を超えます。

ゼロデイ攻撃とは

ゼロデイ攻撃とは、ソフトウェアの脆弱性を標的とした攻撃のうちのひとつで、脆弱性が発見・公表されてから、開発者によって修正プログラムなどの対策が提供される日より前に行われる攻撃のことです。日本でも2017年3月に、大きな被害が報告されています。
クレジット決済代行を取り扱う国内最大手のG社が運用していた2つのサイトが狙われ、クレジットカードの番号、有効期限など合計約72万件が流出した可能性があると発表されました。

このケースでは、Apache StrutsというJavaのウェブアプリケーションを作成するためのソフトウェアフレームワークを使ってサイトを運用していたところ、Apache Struts 2の脆弱性をついた不正アクセスにあいました。

具体的には、Apache Struts 2の「ファイルアップロード処理」に関する脆弱性が発表され、修正プログラムが配布される前に攻撃を受け大量の個人情報を流出することになりました。サイト運用会社、セキュリティ担当者にとっては、「手の打ちようがない」「不可抗力じゃないか」と言いたくなるかも知れませんが。テレビや新聞の報道では細かい経緯や事情は報道されないため、世間からみると、残念ながら「セキュリティ事故を起こし、個人情報を大量に流出させた」と認識され、企業イメージ、企業業績に甚大なダメージを受けることになります。

更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)

ファイルレス攻撃とは

ファイルレス攻撃は、ゼロフットプリント攻撃、マクロ攻撃、非マルウエア攻撃とも呼ばれる攻撃で、パソコンに悪意のあるソフトウェアをインストールすることなし攻撃を実施します。

従来の攻撃の手口は、ユーザーのコンピューターに悪意のあるソフトウエアをインストールしてウイルス攻撃をしかけるパターンが主流でしたが、ファイルレス攻撃は、コンピューターに悪意のあるソフトウエアをインストールすることなく、スクリプトをリモートで実行し、攻撃コードをレジストリに保存する等の手法を使うことに、攻撃を実現します。そのため、他の攻撃に比べ、ウイルス対策ツールによる検出をすり抜ける可能性が高いです。

特にWindows OSの標準スクリプト言語Powershellを使った攻撃が増加しております。

具体的には、下記のように攻撃が行われます。

1. ハッカーが偽メールで「Powershell(PS)にファイルをダウンロードする命令のみを記載したLNKファイル」を送ります。
2. ユーザーが、上記のLNKファイルをクリックする。
3. クリックされたLNKファイルがPSに対して、ある特定のサーバに配置されている「加工されたウイルス」をダウンロードするスクリプトを実行します。
4. パソコンにダウンロードされた「加工されたウイルス」をPSが復元し、ユーザーのパソコン内で情報を抜き取る

政府機関や金融機関などを標的に多くの攻撃がしかけられ、情報を盗み取るのが目的の場合が多いです。

「ファイルレス」「ゼロフットプリント」「非マルウエア」といった、表現が使われますが厳密には正確ではありません。コンピューター上のしかるべき場所を見ると痕跡が残っていることが確認できますが、いずれにしても巧妙攻撃手法が特徴的です。