2016/03/18

数日で収束した新しい暗号化ランサムウェア

2016 年 3 月 18日 JONAS SPIECKERMANN 著

先週、新しい暗号化ランサムウェアの亜種がまた発見しました。このランサムウェアは、Locky ランサムウェアと似た特長があり、暗号化したファイルには .locked という拡張子が付加されていました。そのために、Locky の新しい亜種であると当初は考えられていましたが、これからご紹介するいくつかの理由により、今回の亜種の場合は、Locky ファイルの復号化が可能であることが判明しました。先日、Locky については、私自身が行った実験も含めて紹介し、ウォッチガードのアプライアンスはこのランサムウェアに対する有効な対策手段であるとお話しましたが、この新しい亜種についても、いくつかの興味深い事実と当初の予想ほどは拡大しなかった理由をご紹介したいと思います。

残念ながら、このランサムウェアの場合には、当初の企みが思い通りにならなかったことが証明されました。そして、今回新しく見つかったサンプルは、Locky とは関連性のないもので、すべてのランサムウェアが成功するわけではないことを示す、わかりやすい例だと言えるでしょう。と言うのも、このサンプルは 1 日で 700 近くの被害が報告されたものの、その名前が広く知られる前に終焉を迎えることになったからです。

このサンプルも他の暗号化ランサムウェアと同様に、AES 暗号化を使用してファイルをエンコードし、以前にお話したように、.locked という拡張子を付加します。拡張子が似ているために、Locky と混同されましたが、実際には、Locky が使用する拡張子は .locky であり、.locked ではありません。

ransomware_note
このサンプルの脅迫文の例

それでは、今回の Locky ファイルが復号化できるとされた根拠は何でしょうか。最初の感染の数時間後に、Utku Sen と名乗る人物が感染した被害者に対して復号鍵を公開しました。なぜ、復号化が可能だったのでしょうか。

この、Sen 氏という人物は、EDA2 と呼ばれる概念実証(PoC)ファイル暗号化プロジェクトの開発者の一人だったのです。そして、今回の新しいランサムウェアの作成者は、この EDA2 プロジェクトのコードを使用して被害者のファイルを暗号化していました。被害者にとって幸運だったのは、暗号化プロジェクトを犯罪目的に悪用されないようにするために、Sen 氏が EDA2 にバックドアを作っていたことです。同氏は、このバックドアを使用して、すべての被害者が利用できる復号鍵を提供しました。数時間後には、おそらくは攻撃者が自らの敗北を認めたことで、この暗号化ランサムウェアの C & C(Commando & Control)サーバーが消滅しました。

すべてのランサムウェアが大きな脅威であるわけではありません。今回は、ファイルを復元する有効な手段がすぐに提供されたことで、被害の拡大を防ぐことができました。ただし、いつでも今回のようにすぐに解決策が提供されるとは限りません。 Locky、Cryptowall、新型の TeslaCrypt などの他のランサムウェアでは、巧妙な暗号化メカニズムを利用しており、今日の多種多様なコンピュータすべてに対する攻撃を防ぐ方法が短時間で見つけることはほぼ不可能です。だからこそ、万全の対策を講じて、進化する脅威にも対抗できる多層型のセキュリティサービスを利用する必要があるのです。

また、日常的な追加対策として、データを定期的にバックアップして、安全でネットワーク接続されていない場所に保管することをお勧めします。そうすれば、最悪の場合でも、重要なデータを復元する手段が残されています。そして、バックアップファイルをランサムウェアによって暗号化されないようにする対策も必要でしょう。100パーセント確実な方法はありませんが、これまでの経験から、最初の感染の数か月後には、他の暗号化マルウェア亜種の復号化ツールが公開されると考えられます(例:Tesla Crypt 2)。– Jonas Spieckermann