トレンドマイクロは、2016年3月23日、インド軍高官の個人情報窃取を狙った活発なサイバー攻撃キャンペーン「C-Major作戦」について報告しました。C-Major作戦で利用された不正プログラムは比較的基本的なものでしたが、巧妙なソーシャルエンジニアリングの手法が利用されたために、膨大な情報が窃取されることになりました。今回、この作戦で利用された不正プログラムの1つ、スマートフォンを狙った攻撃に焦点を当て、C-Major作戦で利用された Android端末と BlackBerry端末の不正アプリについて検証します。弊社の調査によれば、C-Major作戦の攻撃者たちは、Android端末用不正アプリを数カ月間にわたって公式ストアである「Google Play」で公開していました。さらに、不正アプリを広告していた Facebookページでは、標的とした高官から何千もの「いいね！」を獲得していました。

■ 「StealthGenie」へのリンク

C-Major作戦に関わっていた攻撃者たちは過去について無頓着だったようで、インターネット上に数々の情報を足跡として残していました。攻撃者の一人は、Android、BlackBerryおよび iPhone端末のための偵察アプリである「StealthGenie」を積極的に販売していました。このアプリは、従業員、配偶者、子供などを監視するためのツールとして販売されていたものですが、アプリが備える機能から判断すると、不正アプリと少しも変わりありません。StealthGenie の作成者のパキスタン人は2014年9月にスパイウェア販売の容疑で米連邦捜査局（FBI）に逮捕され、50万米ドル（約5,500万円。2016年4月19日現在）の罰金を課されました。

C-Major作戦の攻撃者にとって、StealthGenie の販促業務と軍に対するスパイ行為目的で設計された標的型サイバー攻撃の不正プログラムを利用することには、それほど大きな違いはなかったでしょう。2013年、C-Major作戦で、StealthGenie と類似した機能を持つ BlackBerry端末の偵察アプリの利用が確認されています。これらの偵察アプリは、嫉妬深い配偶者の便宜のために開発されたものというよりは、攻撃者が国軍のような組織から機密情報を窃取するために開発されたものであることが明白です。

■ その他の不正アプリ「Ringster」「SmeshApp」「Androrat」など

C-Major作戦の攻撃者は、遅くとも2013年初期から、インド軍高官や外国の大使館を標的としてさまざまな不正アプリを利用していました。弊社の調査によれば、これらの不正アプリは多くの場合標的とされたインドの人々によって、数百回ダウンロードされています。不正アプリのうち、偽のニュースアプリといったものが「公式」とされる Facebookページで広告されていました。これはユーザにアプリをダウンロードさせるためのもう一つのソーシャルエンジニアリング手法です。これらの不正アプリのほとんどは、パキスタンの企業によって開発されています。

以下は、C-Major作戦で利用されたアプリとその機能の概要です。

● Ringster

この偵察アプリは、端末ユーザの連絡先の収集、および画面のスクリーンショットの撮影が可能です。2015年前半まで Google Play で入手することが可能でしたが、その後削除されました。

図1：メッセージサービスのアプリとして宣伝されるRingster

弊社の解析の結果、「Ringster」には「Yello」という企業の開発した通信アプリ「Wavecall」のコードが大幅に流用されていることが確認されました。Ringster にはハードコード化されたURL 、tompjunkie[.]com.が含まれていました。前回の記事で解説していますが、この URL は他の C-Major作戦との関連を示しています。

● SmeshApp

「SmeshApp」は、Ringster に類似していますがもっと強力です。SmeshApp は、SMSメッセージの窃取、録画、通話録音、スクリーンショットの送信をする機能を備えています。SmeshApp は2015年6月から2016年3月まで Google Play で公開され、削除されるまでの間に何百回もダウンロードされていました。このことから C-Major作戦が Google Play で長い間見つからずに公開されていた比較的基本的な不正プログラムを利用していたことがうかがえます。

図2：SmeshAppのダウンロード画面

図3：SmeshAppとRingsterのコードの比較

● Androrat

C-Major作戦では遅くとも2015年から「Androrat」が利用されています。Androrat は、Android端末を管理者権限をもって遠隔操作できるようにするツールで、現在入手可能です。C-Major作戦では Androrat をインドネシアの製造元から購入した可能性があります。Androrat が利用する「コマンド＆コントロール（C&C）」の構造は、前回の記事で解説している他の C-Major作戦で利用されていたものと似ていることが確認されています。

● ニュースアプリ「Indian Sena News」「Bharatiya Sena News」「India Defence News」

偽のニュースアプリである「Indian Sena News（訳：インド軍ニュース）」、「Bharatiya Sena News（訳：インド軍ニュース）」、「India Defense News (IDN) （訳：インド国防ニュース）」の３つが Facebook で広告されていました。ページが閉鎖される前、IDNニュースの Facebookページでは、インド軍と何らかの関わりのある Facebook会員1,200人以上が、「いいね！」ボタンを押していました。同様に「Bharatiya Sena News」も3,300の「いいね！」を獲得していました。これらの偽ニュースアプリは SMSメッセージの窃取、動画作成、通話録音、スクリーンショット送信、ファイル窃取機能を備えています。

図４：偽「India Defense News」アプリのFacebookページ

図5：偽「Bharatiya Sena News」アプリのFacebookページ

図6：「Indian Sena News」アプリの画面

図7：IDNニュースアプリの画面

● BlackBerry端末用不正アプリ

C-Major作戦の攻撃者が、BlackBerry端末の不正アプリも活動攻撃に利用していたことは意外ではありません。BlackBerry は一般に政府機関で広く利用されている端末で、インド国軍によっても利用されていると考えられます。上述のとおり、弊社が確認した不正アプリは BlackBerry端末用偵察アプリで、StealthGenie と同様の機能を備えています。この偵察アプリは GPS情報、Eメールアドレス、連絡先、カレンダー情報、デバイス識別子、保存写真を窃取します。アプリは他にもメール、通話、SMSメッセージの傍受が可能です。

弊社の調査した際、BlackBerry端末用不正アプリは、公式ストアである「BlackBerryWorld」で入手できるアプリではありませんでした。おそらくこの不正プログラムをユーザにインストールさせるためには、ソーシャルエンジニアリングが必要となるでしょう。

■ 結論

C-Major作戦の攻撃者たちは高度な技術を持たないにも関わらず、計り知れない被害をもたらしました。C-Major作戦で利用された C&Cサーバは1年以上、いくつかの例では何年間も稼働していることがあります。彼らは Google Play に数カ月にわたり不正アプリを公開し続け、そのアプリが不正なものと発覚して削除される前に、標的とした高官の個人情報を収集してしまいました。C-Major作戦では高度な不正プログラムやエクスプロイトツールが利用されていなかったとはいえ、今後彼らが攻撃手法の開発を継続し、より巧妙化する可能性は十分考えられます。弊社ではこれからも、C-Major作戦の活動を注意深く追跡するつもりです。

■ トレンドマイクロの対策

トレンドマイクロの個人利用者向け「ウイルスバスター モバイル」および法人向け「Trend Micro™ Mobile Security」は、脅威が進入する前にブロックすることによってユーザのアンドロイド端末を保護します。「Trend Micro™ Mobile Security」に搭載されているクラウド型セキュリティ技術基盤「Smart Protection Network™（SPN）」 および「Mobile App Reputation」によって、これらの不正プログラムを検知し、脅威から保護します。

今回の記事で紹介している不正プログラムに関連する SHA1ハッシュ値は以下のとおりです。

SmeshApp

• 24f52c5f909d79a70e6e2a4e89aa7816b5f24aec
• 202f11c5cf2b9df8bf8ab766a33cd0e6d7a5161a
• 31ac19091fd5347568b130d7150ed867ffe38c28
• 6919aa3a9d5e193a1d48e05e7bf320d795923ea7
• c48a5d639430e08980f1aeb5af49310692f2701b
• 1ce6b3f02fe2e4ee201bdab2c1e4f6bb5a8da1b1
• 59aec5002684de8cc8c27f7512ed70c094e4bd20
• 552e3a16dd36ae4a3d4480182124a3f6701911f2

Ringster

• c544e5d8c6f38bb199283f11f799da8f3bb3807f
• a13568164c0a8f50d76d9ffa6e34e31674a3afc8

Androrat

• 9288811c9747d151eab4ec708b368fc6cc4e2cb5
• 94c74a9e5d1aab18f51487e4e47e5995b7252c4b
• decf429be7d469292827c3b873f7e61076ffbba1
• f86302da2d38bf60f1ea9549b2e21a34fe655b33

India Sena News

• b142e4b75a4562cdaad5cc2610d31594d2ed17c3

BlackBerry端末用偵察アプリ

• abcb176578df44c2be7173b318abe704963052b2
• 16318c4e4f94a5c4018b05955975771637b306b4

参考記事：

• 「“Operation C-Major” Actors Also Used Android, BlackBerry Mobile Spyware Against Targets」
  by Shawn Xing, David Sancho, and Feike Hacquebord

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

暗号化型ランサムウェアの手法は気味の悪い方向へと変化しているようです。トレンドマイクロでは、「JIGSAW（ジグソウ）」と呼ばれる悪質な暗号化型ランサムウェアを検証しました。ホラー映画「ソウ」を連想させるこの暗号化型ランサムウェアは、まずユーザのファイルをロックし、それから徐々にファイルを削除していく、という手法でユーザを翻弄します。そのようにして恐怖心を植え付け、身代金を払うようにユーザに圧力をかけるというわけです。この不正プログラムには、「ソウ」に実際登場する腹話術人形ビリーの画像、また、起動時には赤いデジタル時計が表示されます。

今日のコンピュータ利用状況において、サイバー犯罪者が手っ取り早く稼ぐことのできる暗号化型ランサムウェアの拡散は、もう驚くことではなくなりました。加えてこの拡散に便乗するサイバー犯罪者が増えたこともまた意外ではありません。最近では、各暗号化型ランサムウェア自体にはそれほど差はありません。それよりも、身代金支払いの圧力をかけるためユニークな機能を追加するか、恐怖心をあおる目新しい手法を追加するか、といった事で暗号化型ランサムウェアが命名されているようです。JIGSAW は、過去数カ月の間で瞬く間に流行したPETYAやCERBERのような要注意な暗号型ランサムウェアのファミリに加わります。

■ 感染および拡散

弊社の解析によると、JIGSAW は、無料のクラウドストレージサービス「1fichier[.]com」を拡散のためのダウンロードサイトとして悪用します。このクラウドストレージサービスは、これまでに情報収集型不正プログラム「FAREIT」やビットコインを収集する「COINSTEALER」により悪用されていたことで知られています。弊社はこの件について 1fichier[.]com に報告しており、これらの不正なURL は既に削除されています。JIGSAW はビットコイン関連サイト「hxxp://waldorftrust[.]com」からも、おそらく他のビットコイン関連のアプリのパッケージと共にダウンロードされます。

■ 心理戦

暗号化型ランサムウェア JIGSAW が実行されると、脅迫メッセージとビリーの画像が表示されます。

図1：脅迫メッセージと腹話術人形ビリーの画像を表示する JIGSAW

弊社では、英語とポルトガル語でのメッセージを確認しています。メッセージには、写真、動画およびドキュメントなどのファイルが暗号化されたことが書かれており、24時間以内のビットコインでの支払いを要求します。期限以内に支払わない場合、順次ファイルを削除すると同時に身代金を増額する、と脅迫します。最近の暗号化型ランサムウェアは時間の経過とともに身代金が値上がりしますが、JIGSAW ほどの単位で増加するものは他になく、1時間ごとに削除されるファイルの数だけでなく身代金も増加します。

JIGSAW は、上述のような脅迫で、ユーザに究極の選択、つまり、暗号化されたファイルが永久に削除されるか支払いするかを迫ります。ユーザが要求される身代金の最小金額は、20米ドルから150米ドル（約2,200円から16,400円。2016年4月22日現在）に設定されています。

図２：タイマーが始動しユーザに身代金を支払うように圧力をかける

JIGSAW は、ユーザのファイル全てのコピーを作成し、それらのコピーを拡張子「fun」ファイルに暗号化し、元のファイルは削除します。このような不正活動をする暗号化型ランサムウェアは JIGSAW が初めてです。JIGSAW の亜種には他に、拡張子「KKK」「BTC」「GWS」のファイルに暗号化するものがあります。JIGSAW が暗号化するファイルは、以下図３で示す形式のファイルです。

図3：JIGSAW によって暗号化されるファイル拡張子

図4：ファイル拡張子を「BTC」に変える JIGSAW

図5：赤い文字は削除されたファイル、緑は暗号化されたコピー

脅迫メッセージには、もしユーザが PC を強制終了した場合1,000個のファイルが削除されコピーも作成されない、と書かれています。また、ユーザが再起動を試みた場合には、もう一度脅されることになります。そして72時間以内に身代金が支払われなかった場合には、暗号化されたファイルが削除されます。

図６：再起動を試みると表示されるメッセージ
（訳：あなたは今非常にまずい決断をしようとしています。本当に再起動しますか？） br>

JIGSAW の脅迫手段は悪質な一方で、この暗号型ランサムウェア自体の構造はとても単純です。JIGSAW は他の暗号化型ランサムウェアのファミリと比較しても新機能を備えていません。しかし、高度な機能がなくても、JIGSAW はその悪質さで十分埋め合わせています。JIGSAW はユーザに身代金の支払いを承知させるほどの気味の悪いユーザインターフェイスと不快な脅しの策略を利用しています。

■ JIGSAW の亜種

弊社の解析では、グレイウェアやアドウェア以外の感染経路として、アダルト関連 Webサイトも確認しています。この JIGSAW の亜種は腹話術人形ビリーの画像を用いません。この亜種では「あなたはポルノ中毒です。ポルノを見てはいけません。罰金を払ってください」というメッセージとともに成人向け画像が表示されます。身代金要求の詳細については先に紹介したものと同様です。また、もう1つの JIGSAW の亜種は、平凡なピンクの花の画像を表示します。

図７：もう1つのJIGSAWの亜種の背景画像

■ 「JIGSAW2.0」の確認

弊社では、上述の JIGSAW の解析後、「JIGSAW2.0」という新しいバージョンも確認しました。元の JIGSAW と違い、JIGSAW2.0は、難読化ツール「Confuser」を利用してコードを難読化しています。また、検出回避機能も確認されています。この新バージョンはフォレンジックツールおよび以下のような Windows のユーティリティツールを停止または無効化する事が可能です。

• Taskmgr
• Procexp
• Regedit
• Autoruns
• cmd

弊社で確認した JIGSAW2.0は、ファイルの暗号化に失敗し異常終了を繰り返しました。これは JIGSAW2.0がまだ試行錯誤中で開発途上であることを意味しているかもしれません。

■ 概観

恐怖心を利用する暗号化型ランサムウェアは、JIGSAW だけではありません。最近確認されたもう1つの暗号化型ランサムウェア「MAKTUBLOCKER」は、メールに添付された不正なファイルを経由して感染します。MAKTUBLOCKER の攻撃が効果的である理由は、このメールにはユーザ名とメールアドレスが明記されているため正規のメールに見えるからです。いずれにしても、暗号化型ランサムウェアの作成者がより多くのユーザを感染させるためにますます悪質な手段を採用し、被害者に身代金を払わせるための新しい手法を考案していることは明白です。

■ トレンドマイクロの対策

暗号化型ランサムウェアによる攻撃はますます増加しており、被害に遭う可能性も高まっています。事前の予防として、定期的に3-2-1ルールに従ってバックアップを取っておくことを推奨します。バックアップの保存は万一ランサムウェアの被害に遭った時に被害を緩和することにもつながります。身代金を支払ったとしても、暗号化したファイルをサイバー犯罪者が復号してくれる保証にはならないこと、サイバー犯罪者に金銭を渡すことは次のサイバー犯罪の発生につながることも考慮してください。

トレンドマイクロの提供する個人向けセキュリティ対策製品「ウイルスバスター クラウド 10」、および法人向けエンドポイントセキュリティ対策製品「ウイルスバスター コーポレートエディション」、「ウイルスバスター ビジネスセキュリティサービス」は、不正なプログラムやスパムメールを検出し、関連する不正なURLをブロックすることによって個人ユーザおよび企業をこの脅威から保護します。

※協力執筆者：Mark Manahan、Jamz Yaneza および Ruby Santos

関連する SHA1ハッシュ値は以下のとおりです。

• 0C269C5A641FD479269C2F353841A5BF9910888B – Ransom_JIGSAW.A
• DC307A673AA5EECB5C1400F1D342E03697564F98 – Ransom_JIGSAW.A
• CE42E2C694CA4737AE68D3C9E333554C55AFEE27 – Ransom_JIGSAW.A
• 1AD9F8695C10ADB69BDEBD6BDC39B119707D500E – Ransom_JIGSAW.B
• CA40233610D40258539DA0212A06AF29B07C13F6 – Ransom_JIGSAW.C
• F8431CF0A73E4EDE5B4B38185D73D8472CFE2AE7 – Ransom_JIGSAW.C
• DCE911B1C05DA965C8733935723B88BC29D12756 – Ransom_JIGSAW.D
• 3F6E3E5126C837F46A18EE988DBF5756C2B856AA – Ransom_JIGSAW.E
• 92620194A581A91874A5284A775014E0D71A9DB1 – Ransom_JIGSAW.E
• 5d6eeeffe8997aab2b2f38f81ed117b0e1b458d9 Ransom_JIGSAW.F
• 4e647721d4b98b00ce1430241b47348c81837f33 Ransom_JIGSAW.F
• ebb78d5b1e0734a9de81b4c0e4168de8b83ddb7f Ransom_JIGSAW.F
• 4c7b4e20d1cba5a88e74daec7c7577d68feae7f1 Ransom_JIGSAW.G
• ed42fd4a6cf5f813b3640144b456c6aaa9fef3e2 Ransom_JIGSAW.G

参考記事：

• 「New Crypto-Ransomware JIGSAW Plays Nasty Games」
  by Jasen Sumalapao（Threat Response Engineer）

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

ある脅威が特定の地域向けに作成される理由は、攻撃者が稼げると見込んでいるからです。すでに世界中で何百万ドルも稼ぎだしている「身代金要求型不正プログラム（ランサムウェア）」が、今度は中国へ乗り出そうとしているようです。しかし、新規市場開拓をもくろむこのランサムウェアには出来の悪い点がいくつかあります。

トレンドマイクロは、中国語版ランサムウェアとみられる検体を複数確認しました。これは「Ransom_SHUJIN.A」として検出されます。圧縮されたファイルを解凍すると、すべて同じ実行ファイルになります。中国語版ランサムウェアが確認されたのは今回が初めてではありませんが、簡体字を利用したものでは初めてのようです。簡体字は、通常、中国本土で使われます。2016年5月12日時点でこの攻撃の感染経路はまだ確認されていません。

ランサムウェア「SHUJIN（シュジン）」が実行されると、以下のメッセージが表示されます。

図１：ランサムウェアによる警告メッセージ

表示されるメッセージは他のランサムウェアのものと類似しています。ユーザのファイルが暗号化されているというメッセージとともに、暗号化されたファイルの総数、および暗号化されたファイルのサイズが表示されます。

脅迫メッセージも他のランサムウェアで利用されているものと同等で、「Dark Web（ダーク Web）」に設置された攻撃者の Webサイトに接続するために匿名通信システム「The Onion Router（Tor）」のブラウザをダウンロードするように指示があります。

図２：脅迫メッセージとその他の指示（クリックで拡大）

脅迫メッセージの文章から、作成者は中国語が流暢な人物と推察できます。指示内容も中国に合わせて変更されており、Torブラウザを探すために Google ではなく中国の検索エンジン「百度（Baidu）」の利用が推奨されています。また、中国でブロックされている Tor を利用するため「仮想プライベートネットワーク（Virtual private Network、VPN）」またはプロキシを利用することにも言及しています。

ダークWeb のサイトにある指示は、他のランサムウェアによる攻撃で見られるものと類似しています。図3は、ダークWeb 上の指示に SHUJIN が利用する URL情報の注釈を加えたスクリーンショットです。

図３：ランサムウェア SHUJIN が利用するダークWeb の URL

これらの URL は以下へ誘導します。

• hxxp://{BLOCKED}eumpb77ced[.]onion/Decrypt.exe –　「Ransom_SHUJIN.A」の最新のコピー
• hxxp://{BLOCKED}eumpb77ced[.]onion/GetMKey.JPG –　手順
• hxxp://{BLOCKED}eumpb77ced[.]onion/btc/ –　仮想通貨「Bitcoin（ビットコイン）」についての説明
• hxxp://{BLOCKED}eumpb77ced[.]onion/btc/help.html –　ビットコインについての説明
• hxxp://{BLOCKED}eumpb77ced[.]onion/DeFile.JPG –　その他の指示

しかし、問題のランサムウェアにはいくつかの不手際が見られます。今回、弊社がこの攻撃をランサムウェアによる攻撃と呼び、暗号化型ランサムウェアとしていない理由は、脅迫メッセージに反し、実際には暗号化が実行されないからです。

同様に、身代金の支払いにビットコインと Tor を利用する点も通常のランサムウェアと異なります。ビットコインの入手、Tor の利用、どちらも実行するためには技術的な知識が必要です。弊社は以前、中国でモバイル版ランサムウェアを確認していますが、それらの攻撃は中国で普及している決済サービス「支付宝（アリペイ）」を悪用し、やはり中国で普及しているソーシャル・ネットワーキング・サービス「QQ」のアカウントナンバーで攻撃者との連絡が可能でした。

弊社は、SHUJIN 自体が中国のインターネット情勢に適応していないことから、中国語が達者な攻撃者であるにもかかわらず中国以外に存在すると考えます。将来的には中国語話者が慣れている支払い方法を取り入れるなどして改良を加えた効果的な攻撃が出現する恐れがあります。

ハッシュ値

この攻撃に関連する不正プログラムのSHA1ハッシュ値は以下です。

• D6BAA9BE02723430EADE33432F7718FD93DD838B

協力執筆者：Lion Gu

参考記事：

• 「Chinese-language Ransomware Makes An Appearance」
  by Jasen Sumalapao (Threat Response Engineer)

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

2016年5月17日（米国時間）、ランサムウェア関連の製品およびサービスを宣伝する Webサイトを「Dark Web（ダークWeb）」上で確認した報告がなされました。

匿名通信システム「The Onion Router（Tor）」のネットワーク経由でアクセスが可能な「Hall of Ransom」という名の Webサイトで、暗号化型ランサムウェア「Locky」が3千米ドル（約33万円。2016年5月19日現在）で販売されています。Locky は、不正なマクロを埋め込んだ Microsoft Wordファイルを添付したメール経由でユーザの PC に感染することで話題になった暗号化型ランサムウェアです。Locky による被害は、米国ケンタッキー州の Methodist Hospital の事例、また、暗号化されたファイルの復号のために40ビットコイン（約200万円。2016年5月19日現在）を支払わされた米国カリフォルニア州の Hollywood Presbyterian Medical Center の事例が報告されています。この暗号化型ランサムウェアは2016年2月時点で、1日あたり 90,000件が感染したと推定されています。

問題の Webサイトでは、コピー不可の「USB鍵」を1,200米ドル（約13万円）で販売しているようです。この USB鍵を感染PC に挿入するだけで、Locky によって暗号化された Linux および Windows上のファイルを自動的に復号できると説明しています。

また「Hall of Ransom」は、新種のランサムウェア「Goliath(ゴリアテ)」を2,100米ドル（約23万円）で販売しています。Locky のソースコードを利用しているという Goliath は、サイバー犯罪を始めようという初心者向けに提供されています。Webサイトでは Goliath が非常に高い確率で感染することを保証し、ハッカーがクリックひとつで感染PC のファイルをダウンロード、ロックそしてロック解除もできるという機能について大きく宣伝しています。

さらに、JIGSAW と呼ばれる他のランサムウェア亜種との関連についても明らかにしています。同Webサイトの HTMLソースコードに JIGSAW が参照されているのです。弊社は、先月、身代金が支払われない場合１時間毎にファイルを徐々に削除し、同時に身代金も増額していくという機能を備えている JIGSAW について報告しています。JIGSAW はまた、被害者の罪悪感や恐怖心につけこんで被害者が身代金を支払うように圧力をかけます。

不正プログラムの売買のためにダークWeb が利用されることは意外ではありません。サイバー犯罪者にとって必要なインフラが備わっており、Torのような匿名のネットワーク上で製品とサービスを広告できるため、サイバー犯罪者にとって好都合だからです。手っ取り早く金銭を得る魅力的な手法と考えられているランサムウェアは、サイバー犯罪者間でビジネスモデルとしても着実に拡大しています。例えば PETYA、MISCHA、CERBER、ORX-Locker といった亜種は、ダークWeb の市場で「サービスとしてのランサムウェア（Ransomware as a service、RaaS）」という商品として知られており、そこでは会員がランサムウェアを拡散し、身代金が支払われるたびに開発者に手数料が支払われています。また、ランサムウェア「TOX」は、カスタマイズ可能なツールキットとしてサイバー犯罪者に無料で提供されており、開発者の懐には30％の手数料が入ることになっています。

問題の Webサイト上ではGoliath が宣伝されている一方で、１）「仮想プライベートネットワーク（Virtual private Network、VPN）」の必要、２）Windows OS 搭載機器にしか感染しないこと、3）仮想通貨のマイニング（発掘）機能に必須な高性能のビデオカードの必要、といった事実から、この Webサイトを確認したセキュリティリサーチャーは、Goliath について疑問視しています。また、Goliath の検体収集を試みても見つけられなかったため、ほとんど流通していないのではないか、と説明しています。

トレンドマイクロでは、この脅威を引き続き監視し、必要に応じて情報を更新していきます。

参考記事：

• 「New Ransomware Goliath Up for Sale in the Deep Web」
  by TrendLabsフィリピン

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

「身代金要求型不正プログラム（ランサムウェア）」は、今日の脅威状況では既に目新しい脅威ではありません。そして、継続して機能を拡充して被害を拡大させています。「PETYA」「Mischa」「Locky」「7ev3n」「TrueCrypter」といった新しい暗号化型ランサムウェアによる攻撃が日常的にニュースとなっています。しかし今回、興味深い事実が確認されました。暗号化型ランサムウェア「CRYPTESLA」（別名：TeslaCrypt、「RANSOM_CRYPTESLA」として検出）の作成者が活動停止を決め、復号のためのマスターキーを無料で公開したのです。

セキュリティ会社「ESET」のリサーチャーによると、CRYPTESLA の作成者が徐々に活動を後退させており、他のランサムウェア「CryptXXX」へと切り替えているようです。また、「Dark Web（ダークWeb）」にあるサポートチャットで作成者と接触し、CRYPTESLA に感染したPCのファイルをすべて復号できる、マスターキーを受け取りました。作成者はまた CRYPTESLA の活動を停止することも言明しています。

CRYPTESLAは、確認された当初、ゲームプレイヤー、PCゲームの改造や追加データを作成するユーザ、PCゲーム配信プラットフォーム「STEAM」のユーザなど、特定のユーザを狙っていました。主にスパムメールや、改ざんされた WordPress などの Webサイト経由で拡散され、Webサイトは閲覧者を「Angler Exploit Kit（Angler EK）」を組み込むページへ誘導するように設計されていました。Angler EKは Adobe Flash Player の脆弱性を利用して不正プログラムを拡散しますが、この脆弱性は最近修正されています。

ゲーム業界は非常に繁栄している主要産業であり、次の大ヒット作を期待して莫大な投資をする開発者と、ゲームのための出費を惜しまないプレイヤーが存在する成長市場でもあります。2015年、「Counter-Strike: Global Offensive」の STEAMアカウントの認証情報を狙ったフィッシング攻撃が、公式サイトURL を装った偽の Webサイトを利用してユーザを狙いました。また同年5月には、偽の Android端末用 Minecraftゲームアプリをダウンロードしたユーザが、偽のウィルス感染の警告とともに駆除のために有料のプレミアムサービスに申し込むよう脅かされるという事例がありました。ゲームメーカーやソフトウェア会社を狙った「分散型サービス拒否（DDoS）攻撃」が2014年の第3四半期から2015年までに180％増加したことが報告されています。よく知られたソニー個人情報流出事件では、何百万という PlayStation Network ユーザの個人情報が流出し、ソニーに1億7千1百万米ドル（約188億5千万円）の損害を与えました。

そして、その後の亜種はより広く一般の利用者にも影響するものとなり、ゲームに関連するファイル拡張子だけでなく、Word、PDF、画像、iTune他のメディアのファイルを暗号化する機能を備えていることも判明しています。この暗号化型ランサムウェアの被害者は1週間以内に500米ドル（約5万5千円。2016年5月20日現在）を仮想通貨「Bitcoin（ビットコイン）」で支払うように指示され、1週間を過ぎると1,000米ドル（約11万円）に値上がりします。

CRYPTESLA は、2015年2月から4月の3カ月間で76,522米ドル（約843万円）をゆすり取ったと報告されています。弊社は、2015年12月に英有名ニュースサイト「The Independent」のブログ掲載ページでこの暗号化型ランサムウェアを拡散する不正広告について報告しています。

CRYPTESLAについては前述した万能の復号鍵を、現在は機能していない匿名通信システム「The Onion Router（Tor）」上の Webサイトで見つけることができます。すでにこのランサムウェアによって暗号化されたファイルを復号するためのツールとソフトウェアもリリースされています。

参考記事：

• 「TeslaCrypt Ransomware Devs Close Shop, Gives Away Master Key for Free」
  by TrendLabsフィリピン

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

トレンドマイクロでは、2016年第1四半期(1~3月)における国内外の脅威動向について分析を行いました。昨年顕著だった「ランサムウェア（身代金要求型不正プログラム）」の脅威はさらに拡大を続けており、より巧妙な手口や凶悪な活動内容を含む新種も多く登場しました。

図：国内でのランサムウェアの検出台数推移

・詳細レポートはこちら：
2016年第1四半期セキュリティラウンドアップ：
『止まらぬランサムウェアの猛威、メール経由の拡散が顕著』 br>

ランサムウェアの検出台数は国内では前年同期比9.2倍、海外でも前年同期比3.7倍となっており、法人、個人を問わず世界的に増加が見られました。この急増の背景としてメール経由での攻撃の拡大があります。不正プログラムの拡散を目的としたマルウェアスパムの中でも、特にランサムウェア拡散目的のものは全世界で86万通確認されました。日本でもマルウェアスパムによる不正プログラム拡散の攻撃が繰り返し確認され、合わせて1万4000台以上の PC に影響しました。

世界的には新たな手法を備えた新型の暗号化型ランサムウェアが続けて登場していることも特筆されます。特にサーバ側アプリケーションの脆弱性を利用する「SAMSAM」や、侵入ネットワーク内の情報探索を行う「SAMAS」など、標的型攻撃の手法を取り入れている傾向は注意すべきものと言えます。海外では特に医療機関への攻撃など停止できない重要な業務を行っている法人組織を標的とした攻撃が続発している傾向とも合わせ、ランサムウェアの攻撃が標的型化していくことが懸念されます。

ランサムウェア脅威の激化に隠れがちでしたが、その他の金銭を狙う攻撃も活発でした。ネットバンキングを狙うオンライン銀行詐欺ツールは特に日本で検出台数が増加、1万5000件を超え2014年第2四半期以来最大の検出台数となっています。また、企業や組織の金銭を狙う攻撃として「Business Email Compromised（BEC）」 と呼ばれる、ビジネスメールを侵害する攻撃が世界的に表面化してきました。これはなりすましメールによる送金詐欺であり、取引先とのメールのやりとりにサイバー犯罪者が密かに介入し、本来の取引とは別の口座に支払いを指示したりするものです。2016年第1四半期には、「Olympic Vision」という新たなBECツールキットを使用した攻撃キャンペーンが確認されました。

2016年第1四半期に確認された様々な脅威動向について、より深く知るためには、以下のレポートをご一読ください。

・詳細レポートはこちら：
2016年第1四半期セキュリティラウンドアップ：
『止まらぬランサムウェアの猛威、メール経由の拡散が顕著』

2016年5月18日（米国時間）、暗号化型ランサムウェア「CRYPTESLA」（別名：TeslaCrypt、「RANSOM_CRYPTESLA」として検出）が活動を停止し、復号に必要なマスターキーが無料で公開されました。このランサムウェアに関連する脅威状況の一大事件の裏で、CRYPTESLA が利用していた手口を再利用しようとするサイバー犯罪者がいるようです。この事例に先立って、4月に、従来のランサムウェア「REVETON」の背後にいるサイバー犯罪者集団が新たに「Angler Exploit Kit（Angler EK）」および「BEDEP」を利用して暗号化型ランサムウェア「CryptXXX」（「RANSOM_WALTRIX」として検出）を拡散する報告がありました。

今回、CRYPTESLA の手口を模倣する CryptXXX の亜種（「RANSOM_WALTRIX.C」として検出）が確認されました。CRYPTESLA の無料復号ツールの公開によりユーザが身代金要求を無視できるようになった後で大幅に更新された亜種となり、この亜種は、ファイルを暗号化するだけでなくユーザがデスクトップにアクセスできないように画面をロックする機能も備えています。

■ 侵入経路

RANSOM_WALTRIX.C は、CRYPTESLA の拡散手口同様、改ざんされた Webサイトおよび Angler EK を組み込んだ不正広告経由で拡散します。

図１：Angler EK を経由する CryptXXX の感染経路図

ユーザが改ざんされたサイトあるいは不正広告を訪問すると、不正プログラム「BEDEP」の亜種が RANSOM_WALTRIX.C を作成します。RANSOM_WALTRIX.C は PC に侵入すると、まず仮想環境下で実行されているかを確認します。仮想環境下で実行されていると検知した場合、自身を終了します。

問題の RANSOM_WALTRIX.C の不正活動停止を困難にする理由は、システムの挙動監視プログラムである「watchdog（ウォッチドッグ）」を自身の活動に利用しているからです。RANSOM_WALTRIX.C は、暗号化とシステムの「異常な」挙動の検知という２つの機能を同時に実行します。ウォッチドッグが暗号化プロセスを中断させる「異常な」挙動を検知すると、暗号化を最初からやり直します。このため不正プログラムが停止するとウォッチドッグにより暗号化が再開する、という悪循環が発生します。

図２：「RANSOM_WALTRIX.C」が ”svchost.exe” としてプロセスを同時に実行する

RANSOM_WALTRIX.C は、以下の拡張子を持つファイルを暗号化します。

また、ユーザが他のツールにアクセスできないように画面をロックします。上述のように、旧バージョンの CryptXXX に対する復号化ツールが作成されたことへの対応措置と推測されます。しかし支払いサイトへは脅迫メッセージにあるリンクからアクセスすることが可能です。

図３：「RANSOM_WALTRIX.C」の脅迫メッセージ

RANSOM_WALTRIX.C のもう１つの特徴的な更新は、身代金を倍増させるまでの待機時間の延長です。他の暗号化型ランサムウェアは24時間ほどの短時間で身代金が倍になりますが、RANSOM_WALTRIX.C はユーザに90時間以上猶予を与えます。例えば「JIGSAW」のようなユーザに身代金の支払いを急き立てる他の暗号化型ランサムウェアとは違い、RANSOM_WALTRIX.C は身代金を用意するための十分な時間をユーザに与えます。

図４：身代金500米ドル（約5万5千円。2016年5月25日現在）が2倍になるまで90時間以上あることを示す支払いリンク

新たな機能が追加され以前より身代金が払いやすくなったことで、多くのサイバー犯罪者が「CryptXXX」に群がることになるでしょう。弊社はこの暗号化型ランサムウェアが今後さらに更新され、適切なランサムウェア対策をしていないユーザの脅威になると予測します。

■ ランサムウェア対策

Angler EK は、何百もの Webサイトに被害を与えた最も悪名高いエクスプロイトキットの１つで、多くの不正広告で利用されてきました。脆弱性を利用した攻撃から身を守るため、最新の更新プログラムを定期的に、プログラム、ソフトウェアおよびアプリに適用してください。また、3-2-1ルールに従ってバックアップを取ることも大切です。

• 3つ以上のコピーを保存
• 2つの異なる種類の端末に保存（例：ハードドライブおよび USB）
• そのうちの１つは他の2つとは異なる場所に保存（例：自宅とオフィス）

ランサムウェアはスパムメールの添付ファイル、または埋め込みリンクとして拡散されることも考慮して、信用できないメールを開けたり埋め込みリンクをクリックしたりしないようにしてください。

トレンドマイクロはランサムウェアを容認しません。弊社は、身代金の要求に応じないよう強く推奨します。要求に応じることでサイバー犯罪を増長させることになり、さらにランサムウェアを拡散させてしまいます。また、ランサムウェアによる被害のリスク軽減のためにゲートウェイからネットワーク、そしてエンドポイント、サーバまでをカバーする多重対策をとっておくことが必要です。

弊社では、個人ユーザへのネットワーク保護対策も提供します。企業ユーザは、「InterScan Web Security」によって CryptXXX を入口でブロックすることができます。トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」および法人向けクライアント用総合セキュリティ対策製品「ウイルスバスター コーポレートエディション」、「ウイルスバスター ビジネスセキュリティサービス」は、不正なファイルやスパムメールを検出し、関連する不正なURLをブロックすることによって個人ユーザおよび企業をこの脅威から保護します。

「Ransom_WALTRIX.C」のハッシュ値：

• DF7E00A7DE1C584F0BF71BB583673A9CA4511AEF
• ADCE8CF4C31F1980C2B1D952A5A931D7C8DCDD8C
• B3CA5D55F0D38AC78A86A36323A8498854E3FA80

※協力執筆者: Jaaziel Carlos、Anthony Melgarejo、Rhena Inocencio およびJoseph C. Chen

参考記事：

• 「Will CryptXXX Replace TeslaCrypt After Ransomware Shakeup?」
  by Trend Micro

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

トレンドマイクロの統計によると、ランサムウェアの検出台数は、2015年10月から増加傾向を示しており、2016年に入ってからもその脅威は止まるところを知りません。2016年2月以降全世界におけるランサムウェアの検出台数は急増傾向にあり、3月だけでも3万件に達しています。

図1: 全世界におけるランサムウェア検出台数の推移（2015年10月～2016年3月）

■ 2015年末から見るランサムウェアの変遷

世界的にランサムウェアによる被害が深刻になっている中、ランサムウェアの手口はさらに凶悪化してきています。2015年12月に vvvウイルスと呼ばれる「CRYPTESLA」（「RANSOM_CRYPTESLA」として検出）の亜種が話題になりましたが、同じころに“暗号化したデータをインターネット上に公開する”と脅迫してくるランサムウェア「CHIMERA」（「Ransom_CRYPCHIM」として検出）が出現しました。2016年になってからは、メール経由での拡散を中心とする「LOCKY」（「Ransom_LOCKY」などの検出名で検出）が2月に出現し、3月には全世界の検出台数の42%を占めました。また、3月にはPCのマスターブートレコード（MBR）を上書きし感染した端末を起動不能にする「PETYA」（「RANSOM_PETYA」として検出）、4月には標的型サイバー攻撃の手法を取り入れて感染した端末からネットワーク内部で横展開を行う「SAMAS」（「RANSOM_CRYPSAM」などの検出名で検出）、Windowsの正規ツールを利用して感染を拡大する「PowerWare」（「RANSOM_POWERWARE」として検出）や、「Angler Exploit Kit（Angler EK）」および「BEDEP」を利用して拡散される「CryptXXX」（「RANSOM_WALTRIX」として検出）と呼ばれるランサムウェアが出現しています。

図2: 2015年12月以降のランサムウェアの変遷 br>

■ 「CRYPTESLA」は活動を停止

攻撃手法という観点でも変化を見せているランサムウェアですが、一方で「CRYPTESLA」は2016年5月に入りその活動を停止しました。「CRYPTESLA」を拡散させていたサイバー犯罪者は、「CRYPTESLA」のプロジェクト終了を宣言し、人質に取っていたファイルを復元するためのマスターキーを公開しました。このような例は初めてではありません。2015年5月にも暗号化型ランサムウェア「Locker」（「TROJ_CRYMLOCK」として検出）の作成者が謝罪し、暗号化されたファイルの復号鍵を公開したことがありました。

「CRYPTESLA」は2016年第1四半期の日本国内におけるランサムウェア検出ファミリTop3に入っており、日本でも影響が大きいランサムウェアでした。

図3: 国内法人ユーザにおけるランサムウェア検出ファミリ Top3（2016年第１四半期）

図4: 国内個人ユーザにおけるランサムウェア検出ファミリ Top3（2016年第１四半期） br>

データ暗号化のためにインターネット経由で C&Cサーバを利用する初のランサムウェア「CryptoLocker」が2013年9月に出現して以来、暗号化型ランサムウェアにより暗号化されたデータの回復はほぼ不可能になっていました。しかし、今回のようにマスターキーが公開された場合は、例外としてデータの復号が可能になり、これまでに「CRYPTESLA」の被害にあったユーザにとっては朗報となるでしょう。
ただし、こういったケースは稀であり、ランサムウェアによって暗号化されたデータが復号可能になる保証はどこにもありません。

最近では、米国カンザスシティの病院で、ランサムウェアに感染し身代金を支払ったにもかかわらず、ファイルを完全復旧できず再び身代金を要求された事例が報道されています。この事例は、一度身代金を払ったところで必ずしもデータが取り戻せる保証はないことを示唆しています。ランサムウェアが引き続き深刻な脅威であることは間違いありません。

■ ランサムウェアファイル復号ツール公開

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

法人向けダウンロードURL：http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
個人向けダウンロードURL：https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

また、トレンドマイクロでは、ランサムウェアの被害に遭われている法人・個人を対象に無料相談窓口も開設していますので、お困りの方は一度ご相談ください。

※協力執筆者：岡本　勝之

バングラデシュや、ベトナム、エクアドルの銀行を襲ったサイバー銀行強盗事件について多くの報道がなされ論議を呼んでいます。これらの事件ではいずれも、世界中の金融機関で利用されている金融メッセージ通信サービス「国際銀行間通信協会（Society for Worldwide Interbank Financial Telecommunication、SWIFT）」のネットワークが狙われていました。SWIFT が提供するネットワークは、銀行、金融ブローカー、外国為替証拠金（FX）取引業者、投資会社など1万以上の金融機関に利用されています。これら一連のサイバー銀行強盗事件からは、「攻撃者がどのようにして侵入の足掛かりをつくり、取引行使や支払い指示の権限を得たのか」、「どのような不正プログラムを利用したのか」、そして「このような不正活動を検出するために必要なセキュリティ対策は何か」といった問いが提起されます。

例えば、ベトナムの銀行「Tien Phong Commercial Joint Stock Bank」を狙った2015年末の巧妙なサイバー銀行強盗の事例では、背後の攻撃者は、金銭窃取のために SWIFTメッセージを標的にして改変するように設計されたツールを利用していました。また、攻撃者は、SWIFT の詳細やそれが銀行でどのように利用されているかなど銀行業務についても精通していたと推察されます。そう考えられる理由の1つは、このベトナムの銀行への攻撃の際、ソーシャルエンジニアリングの手法として、PDFファイルの閲覧、編集、作成が可能なフリーのPDF閲覧ソフト「Foxit Reader」が悪用された点です。攻撃者は、事前調査を通して銀行業務で Foxit Reader が利用されていることを把握していたのでしょう。

今回の事例でSWIFTコードがハードコード化されていた銀行のうち6行はアジア太平洋地域、2行は米国とヨーロッパが所在地でした。トレンドマイクロでは、対象となった銀行の6行がアジア地域所在であったことは偶然ではないと考えています。サイバー犯罪者は、おそらく銀行の情勢に通じており、アジア地域が抱えるセキュリティの課題も把握していたと推察されます。現在、セキュリティ状況は全般的に改善されてきているとはいえ、アジア地域のいくつかの銀行は、米国や欧州ほど整備されていません。この地域の銀行の多くは、セキュリティ技術や対策強化の重要性を認識していながらも、そのために多くの予算を確保することも、投資することもありません。さらに一部のアジア地域では国家間の連携対策も不十分であり、それがサイバー犯罪対策への障害となっているとも言えます。また、2015年の調査では、「アジア地域のサイバーセキュリティ上でもう１つの課題は対策に向けた官民協働体制が存在しないことである」と報告されています。

■ 活動の痕跡を削除する不正プログラム

弊社は、ベトナムの銀行への攻撃で利用された不正プログラム（「TSPY_TOXIFBNKR.A」として検出）を解析しました。この不正プログラムは、SWIFT が導入されたシステム上で実行される場合、３つの主要な活動を行ないます。まず、PDFファイル形式の SWIFTメッセージによる銀行取引を改ざんします。ただし、この改ざんは、PDFファイル閲覧に偽の Foxit Reader が設定されているか、SWIFTメッセージを含む PDFファイルの開封時にユーザが偽の Foxit Reader を選択した場合のみに可能となります。次に、もし偽のFoxit Reader が設定もしくは選択されず、改ざんに失敗した場合は、この不正プログラムは自身の活動の痕跡を全て削除します。銀行取引の入出金データが含まれる表のデータログも削除対象となります。最後に、この不正プログラムは、不正活動を遂行した際、自身の活動の詳細を “%Temp%\WRTU\ldksetup.tmp” として一時ファイルに記録します。図１は感染経路を示しています。弊社は、この脅威を引き続き監視し、必要に応じて情報を更新していきます。

図1： 「TSPY_TOXIFBNKR.A」の感染経路

■ 推奨事項およびトレンドマイクロの対策

金融機関はあらゆる意味で利益の見込める標的です。攻撃の背後にいるサイバー犯罪者は、標的の銀行と SWIFT のプラットフォームについて時間をかけて調査し、SWIFT を悪用して銀行のネットワークに侵入する方法を計画しました。なお、従来の手法は、ネットワークに侵入して機密情報を窃取するか、不正プログラムを利用して窃取したユーザの個人情報をアンダーグラウンド市場で売ることでしたが、今回の事例では、背後にいる攻撃者の手法はそこから逸脱しています。

今回のサイバー銀行強盗の事例は、いかに銀行が攻撃に対して脆弱になり得るか、また、銀行を取り巻くセキュリティに隙がある場合いかに深刻な結果を招くかを示しています。また、海外送金の管理やアクセスなどあらゆる面で万全にしておくことの重要性も浮き彫りにしています。SWIFT は、同協会発表の声明のなかで、オンライン決済の管理およびメッセージング経路の監視を実施し、予防策として強固なパスワードによる保護を利用者にアドバイスしています。さらに同協会 CEO の Gottfried Leibbrandt 氏は SWIFT のセキュリティ強化を推奨し、ユーザが管理するソフトウェアのセキュリティ要件の強化や、ユーザ間情報共有の改善などを挙げています。

前回の記事では、セキュリティ対策とは単にチェックリストを埋めるだけの作業ではなく、業務のプロセス、従業員各自の心構えや態度として捉えることの重要性を指摘していました。今回の事例でも同様にサイバー犯罪の危険性を考慮し、従業員へのセキュリティ教育や研修、特に機密情報へアクセス権のある従業員に対する実施強化が推奨されます。

トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security（トレンドマイクロ ディープセキュリティ）」は、SWIFTシステムを狙う脅威を検出することができます。法人向けクライアント用総合セキュリティ対策製品「ウイルスバスター コーポレートエディション」および「ウイルスバスター ビジネスセキュリティサービス」は、不正なファイルを検出することによって金融機関をこの脅威から保護します。

■ 感染が疑われる場合

以下のファイルが見つかった場合、「TSPY_TOXIFBNKR.A」の感染が疑われます。

• Foxit Reader.exe（正規のPDF閲覧ソフトはファイル名「FoxitReader.exe」（スペースなし）であることに注意）
• mspdclr.exe
• %Temp%\WRTU\ldksetup.tmp
• %Temp%\WRTU\LMutilps32.dat

ベトナムの銀行を襲った攻撃で利用された不正プログラムの SHA1ハッシュ値

• A1BC507B1C5C7A82E713554AFE0F4CECE900B6A2
• 781386119695d5d38bd533130d724c9abf6f4ff6

謝辞：BAE Systems の Sergei Shevchenko 氏と Adrian Nish 氏（不正プログラムの高度な解析結果の提供）

解析：Janus Agcaoili

【更新情報】

参考記事：

• 「High-Profile Cyber Theft Against Banks Targeted SWIFT Systems」
  by Trend Micro

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

あるものが流行していると判断できる目安は何でしょうか。簡単な目安は、出来の良くない類似品まで市場に出回ったときです。どうやらランサムウェアは、粗悪品が出まわるほど流行してきたようです。

新しく確認された暗号化型ランサムウェアファミリ「ZCRYPT（ズィークリプト）」（「RANSOM_ZCRYPT.A」として検出）の作成者は、Windows XP を対象から除外したか、作成に際して不十分な作業をしたようです。この新しいファミリは Windows の最近のバージョンである Windows７およびそれ以降の Windows しか対象とぜず、後方互換性がありません。「ZCRYPT」は、意図的に古いオペレーティングシステム（OS）を対象から省いたのでしょうか、それともただ中途半端に作成された不正プログラムなのでしょうか。

■ 限定的な暗号化型ランサムウェア

トレンドマイクロが「ZCRYPT」を確認した時、最初はこれといって特徴のない暗号化型ランサムウェアのように見えました。この暗号化型ランサムウェアはユーザのファイルを暗号化し、そのマーカーとしてファイル拡張子を「ZCRYPT」に変えます。「ZCRYPT」は、以下のファイル形式のファイルを暗号化する機能を備えています。

「ZCRYPT」は、ユーザが1週間以内に身代金を支払わない場合はファイルを削除すると脅迫する典型的な暗号化型ランサムウェアです。身代金は1.2ビットコイン（約７万円。2016年6月2日現在）に設定されており、4日後に5ビットコイン（約29万円）に増額されます。以下のような脅迫メッセージが表示されます。

図１：脅迫メッセージ（クリックで拡大）

しかし「ZCRYPT」は、このような活動を Windows 7 およびそれ以降のシステムで実行しますが、それ以前のシステムでは試みるだけで実行できません。弊社の解析によると、Windows XP のような古いバージョンの Windows で「ZCRYPT」が起動した場合、ファイルの暗号化や脅迫メッセージの表示に失敗することが確認されています。「ZCRYPT」は、古い Windows のバージョンには存在しない機能を呼び出すため、それが古い OS では動作しない原因となっています。

興味深いことに、この暗号化型ランサムウェアは、リムーバブルドライブの中に自身のコピーを作成し、USBメモリ経由でも拡散を試みます。これは暗号化型ランサムウェアの拡散方法としては比較的珍しく、弊社では、2013年12月にこのような活動をする「CryptoLocker」の亜種を確認していますが、一般的な拡散方法として定着するには至りませんでした。暗号化型ランサムウェアの作成者たちは、通常の拡散方法である不正広告やスパムメールで満足しているようです。

■ コマンド＆コントロール（C&C）サーバ

上述の脅迫メッセージは、感染PC が C&C サーバに接続された後に表示されます。接続先の C&Cサーバのドメイン名は「poiuytrewq.ml」です。これは標準QWERTYキーボード最上段のキー配列「QWERTYUIOP」を反転させた文字列です。トップレベルドメインは「.ml」としてマリ共和国が割り当てられています。このトップレベルドメインで登録されているドメインは2013年4月以降、無料で提供されています。なお、「ZCRYPT」をホストしていた Webサイトの URL も「.ml」のドメインでした。

ドメイン登録では登録者の身元が伏せられており、このことから攻撃者が無償の匿名登録を利用していたこともわかります。なお、C&Cサーバのドメインには、すでにそのドメインが無効であることを意味する「canceled, suspended, refused, or reserved.」が表示されています。

■ 推奨事項およびトレンドマイクロの対策

バックアップは、暗号化型ランサムウェアに対して、今でも最善の防衛策です。3-2-1ルールに従いバックアップを取ることによって、ランサムウェアの被害に遭ったとしても、データの無事が保証されます。

• 3つ以上のコピーを保存
• 2つの異なる種類の端末に保存（例：ハードドライブおよび USB）
• そのうちの１つは他の2つとは異なる場所に保存（例：自宅とオフィス）

弊社は、身代金の要求に応じないよう強く推奨します。要求に応じることは、ランサムウェアの脅威が継続し、被害が拡大することにつながります。

トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、「ZCRYPT」のような暗号化型ランサムウェアによる被害を最小にするための対策を提供します。

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策とることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」およびWebゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能（不正変更監視機能）の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。サーバ＆クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」は、不正なファイルやスパムメールを検出し、関連する不正なURLをブロックすることによって、強固な保護を提供します。

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

• 法人向けダウンロードURL：http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
• 個人向けダウンロードURL：https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

ネットワークセキュリティ対策製品「TippingPoint」では、2016年5月31日以降、以下の ThreatDV フィルターにより今回の不正プログラムによる攻撃をブロックしています。

• 24733: HTTP: Ransom_ZCRYPT.A

「Ransom_ZCRYPT.A」のハッシュ値：

• D14954A7B9E0C778909FE8DCAD99AD4120365B2E

※協力執筆者: Rhena Inocencio、Jay Yaneza　およびRuby Santos

参考記事：

• 「Crypto-ransomware Attacks Windows 7 and Later, Scraps Backward Compatibility」
  by Jasen Sumalapao (Threat Response Engineer)

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

オンライン銀行詐欺ツール「DRIDEX」は、2016年5月にはわずか数日間の活動が確認された程度であったため、一見すると減少傾向にあると思われました。これは過去5ヶ月間の「DRIDEX」の活動から見ても不自然な現象でした。案の定、減少傾向と見られたのは「中断」に過ぎなかったようで、2016年5月25日、トレンドマイクロでは「DRIDEX」を拡散するスパムメールの急増を確認しました。このスパムメール送信活動では、主に米国、ブラジル、中国、ドイツ、日本のユーザが影響を受けました。ただし日本国内のネットバンキングを狙った「DRIDEX」はまだ確認できておらず、日本に関してはスパムメールの流れ弾的な流入であるものと言えます。

図1：DRIDEX を拡散するスパムメールの影響を受けた上位10カ国（2016年5月25日現在）

確認された「DRIDEX」のスパム活動は、これまでの活動に比べていくつか顕著な違いが見られます。今回の活動では、「偽の請求書や通知でユーザの関心を引く」という通常の手法の代わりに、「アカウントが乗っ取られたかもしれない」というユーザの不安感につけ込みます。こうしてメールの件名を変え、さらなる新しい手法も隠し持っています。その手法とは、マクロ機能と証明書サービス関連のコマンドラインツール「Certutil」の利用です。Microsoft の正規ツールである「Certutil」は証明書形式のファイルになりすました Base64 エンコードのデータをバイナリデータに復元することが可能です。このように「マクロ」と「Certutil」という2つの要素を組み合わせた手法で「DRIDEX」を拡散させ、検出を困難にしています。

■ 不安感につけ込む手口

今回のスパムメール活動でサイバー犯罪者はどのような手口を使うのでしょうか。スパムメールの件名には「Account Compromised」（訳：アカウントが乗っ取られました）と記され、本文には第三者がログオンを試みたことを知らせる内容が、本物らしく見せるための IPアドレスと共に記載されています。ただし本物らしく見えるとはいえ、スパムメールのメッセージには1つ重要な情報が欠けています。乗っ取られたのがメールアカウントなのか、銀行口座なのか、ソーシャルメディアのアカウントなのか、どのタイプのアカウントが乗っ取られたかが記載されていない点です。通常、遠隔の第三者がログオンを試みたことを知らせる通知メールでは、アカウントのタイプが明記されています。

恐らくサイバー犯罪者は、ユーザが不安感から詳細が記載されているはずの添付 ZIPファイルを開封することを期待したのでしょう。ユーザが添付ファイルを開封すると、白紙の書類が表示され、マクロを有効にするように指示されます。もちろんマクロを有効にすれば、ユーザの PC上で「DRIDEX」が活動を開始します。

図２：スパムメールの例

弊社の解析によると、今回の「DRIDEX」のスパム活動は、マクロの利用法やメールのテンプレートの点から暗号化型ランサムウェア「Locky」との類似性も確認されています。

■ Certutil の利用

ランサムウェア関連のスパム活動が注目される現在、脅威状況において「DRIDEX」の存在が希薄になったように感じられたかもしれません。しかし実際は、「Certutil」や電子証明書の公開鍵と秘密鍵の格納に使用されるファイル形式である「Personal Information Exchange（拡張子「.PFX」）ファイル」などの新たな手法を利用しており、「DRIDEX」がオンライン銀行詐欺ツールの脅威としてトップの座を奪回するかもしれません。

今回の「DRIDEX」スパム活動では、若干の変更点も見られます。ユーザが添付の ZIPファイルを解凍して Wordファイル（「W2KM_DRIDEX.YVD」として検出）を開封すると、拡張子「.PFX」のファイルが作成されます。このファイルは正式な PFXファイルとして利用可能な形式であるわけではなく、単に実行可能な EXEファイルを Base64形式にエンコードしただけのものであり、このファイルだけでは不正プログラムは PC上で実行されません。ここでコマンドラインツール「Certutil」が登場し、Base64形式のファイルをデコードして EXEファイルに変換します。こうして最終的に実行可能な EXEファイルが作成されることで、「DRIDEX」（「TSPY_DRIDEX.YVD」として検出）が活動を開始します。

サイバー犯罪者はなぜ感染PC上でこのようなステップを追加したのでしょうか。最初に作成されるファイルが PFXファイルを装った Base64形式であるため、検出回避が可能ということがその理由となります。PFXファイルと Certutil を利用することで、不正ファイルは正規証明書として通過させられます。そして一旦感染PC上で不正なファイルが正規の証明書として認識されてしまうと、以降同様の証明書や不正ファイルもブロックされず、検出もされません。こうして「DRIDEX」の検出や対策が困難になります。この新しい手法が登場する前は、「仮想環境（サンドボックス）」技術による検出を回避するためにマクロが利用されていました。この点からも、「DRIDEX」がオンライン銀行詐欺ツールの脅威として君臨するため、手持ちの札を駆使してレベルアップを試みていることが分かります。

■ 推奨事項およびトレンドマイクロの対策

「DRIDEX」の脅威に対してユーザ側の取り組みも一定の効果を発揮します。個人ユーザや企業側では「添付ファイルを開封しない」、「未知の送信元からのメールのマクロを有効にしない」などの簡単な予防対策が可能です。「アカウントが乗っ取られた」という通知メールを受信した場合、まず送信元を確認することです。「通知メールの指示に従う前にまずはメール自体の信ぴょう性を確認する」ということが有効な対策となります。特に企業の場合は、「未知の送信元からのファイル添付付きメールをブロックする」というセキュリティポリシーを施行することも有効です。さらに従業員へは、今回のような脅威についての情報や遭遇した場合の対処方法になど、セキュリティ教育の徹底を推奨します。

トレンドマイクロのエンドポイントセキュリティ対策製品「ウイルスバスター クラウド™」、「ウイルスバスター™ ビジネスセキュリティ」、および「ウイルスバスター™ ビジネスセキュリティサービス」は、不正なファイルやスパムメールを検出し、関連する不正なURLをすべてブロックすることによって個人ユーザおよび中小企業をこの脅威から保護します。また、弊社の「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」は、搭載されている「Deep Discovery™ Email Inspector」によって、不正な添付ファイルや URLリンクをブロックして企業を保護します。また、DRIDEX を検出し、システムの感染および情報の窃取を防ぎます。

ネットワークセキュリティ対策製品「TippingPoint」では、以下の MainlineDVフィルターにより今回の脅威をブロックしています。

• 24747: TLS: Malicious SSL Certificate Detected (TSPY_DRIDEX.YVD)

今回の脅威に関連するSHA1ハッシュ値、URL、およびIPアドレスについてはこちらを参照してください。

※協力執筆者: Michael Casayuran、 Rhena Inocencio、 および Jay Yaneza　　協力解析者：Lala Manly

参考記事：

• 「DRIDEX Poses as Fake Certificate in Latest Spam Run」
  by Trend Micro

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

トレンドマイクロは、標的型サイバー攻撃キャンペーン「IXESHE（アイスシ）」を2012年から監視しています。2009年に活動を開始したこのキャンペーンは、東アジア圏の政府機関や企業、ドイツの企業を主に標的にしてきました。しかし、今回その手口を変えて、再び米国のユーザを標的にしているようです。

新しく確認された今回の検体では、「IXESHE」が利用する不正プログラムの C&Cサーバとの通信および暗号化方式といった基本的な活動にも変更が施されています。他にも改良点が徐々に追加されているとはいえ、全般的に見て、以前「IXESHE」で確認されたものと類似しています。

米国のユーザを標的とした今回の攻撃では、2009年以降台湾で確認されている「IXESHE」の亜種で「IHEATE（アイヒート）」として検出されるバックドア型不正プログラムが利用されていました。そしてこの「IHEATE」は、従来の「IXESHE」とはいくつかの相違点が見られます。両者は、別々の C&C通信形式と暗号化方式を利用します。

弊社が確認した「IHEATE」の検体の一例では、C&Cトラフィックの一部に “EMC112” という文字列が含まれていました。こうした文字列は、さまざな攻撃キャンペーンを識別するためによく用いられています。この場合、文字列に含まれる112はこの検体のコンパイルされた日付の1月12日を示しています。

弊社で取得したこの検体が接続する C&Cサーバのドメインは、2004年に初めて登録されたものですが、2015年12月に変更されています。これは、攻撃者が元の登録者になりすまし、必要に合わせて情報を変更したことを示しています。

■ 詳細情報

「IXESHE」は、主に東アジア圏の政府組織、電機メーカ、そしてドイツの電気通信事業会社を標的にした悪名高い標的型サイバー攻撃キャンペーンです。「IXESHE」の標的には主要20カ国・地域（G20）首脳や、ニューヨーク・タイムズ社も含まれています。「IXESHE」は、脆弱性や、文字を右から左に向かって読ませる Unicode の機能「Right-to-Left Override（RLO）」利用した偽装文書ファイルによりユーザを狙うことで知られています。

弊社で確認した検体の SHA1ハッシュ値は 3de8ef34fb98ce5d5d0ec0f46ff92319a5976e63 でした。弊社ではこれをバックドア型不正プログラム「BKDR_IHEATE」として検出対応しています。標準的な「IXESHE」の場合、通常、HTTP を経由し Base64形式でエンコードされた不正プログラムを利用して C&Cサーバと通信しますが、「IHEATE」は TCP 経由で C&Cサーバと通信します。なお、 “HEATE” とは、「IHEATE」ファミリの亜種がサーバへ送信するコマンドで、まだオンラインであると通知する役割をします。弊社はこのコマンドから、そして「IXESHE」ファミリと関連付けるため、「IHEATE」と名付けました。

弊社では、「IXESHE」は、暗号化の動作が亜種ごとに異なっていますが、復号された後の結果等は、どの亜種も類似していることを確認しています。

■ 情報収集

今回の「BKDR_IHEATE」は、インストールされると、感染PC から窃取した情報を以下の形式で C&Cサーバに送信します。

すべての検体に同一の識別用文字列が含まれるわけではありません。文字列はプロセスID であったり、ユーザの情報であったり、不正プログラムがコンパイルされた日付であったりします。今回の「IHEATE」の検体では、“EMC112” という文字列も利用されていました。112の部分は、コンパイルされた日付が2016年1月12日03時22分27秒であることから、不正プログラムのコンパイル日を表していると推測されます。

「IHEATE」の背後にいる攻撃者は、これらの文字列を利用して標的から窃取する情報を取捨選択します。このように特定の文字列を利用することで、C&Cサーバへ通信するトラフィックを簡単に制御できます。

なお、以下のように上記とは若干異なった形式が利用される場合もあります。

• スペースなし:“[ コンピュータ名]|[ ユーザ名]|[IP]|[ OSのバージョン]|[文字列]”
• 区切り文字を変更:“* [コンピュータ名] * [ユーザ名] * [IP] * [OSのバージョン] * [文字列]”

■ バックドア機能のコマンド

「IHEATE」は、下記のとおり、標準的な「IXESHE」とほとんど同じコマンドを利用します。なお、これらは大文字と小文字を区別しません。

• /WINCMD %s – コマンドを実行し結果を出力する
• /GETCMD %s – Cmd.exe をコピーして改称する
• /DISK – 全ドライブを表示する
• /CD – 現在のディレクトリを出力する
• /CD %s – ディレクトリを変更する
• /DIR %s – ディレクトリを閲覧する
• /DEL %s – ファイルを削除する
• /GETFILE %s – ファイルをアップロードする
• /PUTFILE %s – ファイルをダウンロードする
• /TASKLIST – 実行中のプロセスを列挙する
• /TASKKILL %s – 実行中のプロセスを終了する
• /SHUTDOWN – 不正プログラムを終了する
• /SLEEP %s – 指定された一定時間（分）一時停止またはスリープする

■ 暗号化

「IXESHE」は C&Cサーバへの通信とバックドア活動という点ではどの亜種も共通していますが、暗号化の手法は、亜種によって大きく異なります。同じ傾向は、「IHEATE」でも見られ、それぞれ独自の暗号化手法を実行します。

以下のトラフィックは、「IHEATE」に感染した PC とその C&Cサーバとのトラフィックを再現したものです。PC から C&Cサーバへのトラフィックは赤、C&Cサーバから PC へのトラフィックは青で表しています。C&Cサーバが PC へ、”/DISK”というコマンドを送信しているのがわかります。

図1：キャプチャされた「IHEATE」のトラフィック

赤で示された感染PC から C&Cサーバへのトラフィックの前半部分は、以下のように説明されます。

1. 最初の6バイトは、暗号鍵がハードコードされた部分です。ここでは “36 59 6d 56 7c 22” が該当します。弊社が確認した「IHEATE」の他の亜種では、10バイトの鍵長のものもいくつか存在します。
2. 続く8バイトは、暗号鍵のうちランダムに生成された部分です。ここでは “b0 84 e8 44 a4 55 85 c7” が該当します。同様にこの部分が10バイトである亜種も存在します。
3. 続く2バイトは、暗号化されたデータの長さを表しています。ここでは “61 8a” が該当します。データは、ランダムに生成された暗号鍵を利用し、共通暗号化方式 RC4形式で暗号化されています。
4. 残りの箇所はデータ部分です。この部分も、ハードコードされた部分とランダムに生成された部分を連結した暗号鍵を用いて、RC4形式で暗号化されています。

次の青で示された部分は、C&Cサーバから感染PC への応答です。以下のように説明されます。

1. 暗号化プロセスは、感染PC から C&Cサーバへの通信に利用するものと同じです。
2. 暗号鍵のハードコードされた6ビット部分は、上述した感染PC が利用するものと同一でなければなりません。鍵が合わなければ接続できません。

しかし、さらに最近確認された「IHEATE」の検体は、もう1つの手法を追加します。これらは非対称暗号化を使います。

1. C&Cサーバと通信する前に、不正プログラムに感染した PC がランダムなセッション鍵を生成します。
2. 感染PC は、不正プログラムの中にハードコードされている1024ビットの RSA公共鍵を使ってセッション鍵を暗号化します。
3. 感染PC は、カスタム暗号化により、送信するデータを暗号化します。
4. さらに、C&Cサーバへ送信したデータは、事前に生成されたセッション鍵を使って RC4で暗号化されます。

図2：「IHEATE」が利用する非対称暗号化

■ ファイルのプロパティ

“EMC112”で識別できる「IHEATE」の検体は、以下のように Media Player の正規のファイル（拡張子「DLL」）を装い、検出を回避します。

図3：Media Player の「DLL」ファイルになりすます「IHEATE」のプロパティ情報

■ コマンド＆コントロール（C&C）サーバ

「IXESHE」は、感染したホストサーバを自身の C&Cサーバに利用することで知られていましたが、「IHEATE」も同様の活動をします。

“EMC112” で識別される「IHEATE」の検体には、その C&Cサーバの場所として、「cknew[.]{abused domain}[.]com 」というサブドメインが含まれていました。このドメインには、もとのドメイン登録者のものと思われる個人のブログが含まれており、この登録者は2004年に登録してから継続してこのドメインを利用しているようです。弊社は、この登録者が「IHEATE」と関わりを持つと考えていません。むしろ攻撃者が、登録者の個人情報を窃取してアカウントを乗っ取り、サブドメインを設定したものと推測します。このサイトは2015年中頃の一時期を除いて休止していましたが、2016年になって再開されています。

他の「IHEATE」の検体にも興味深い挙動が確認されています。ある検体では、偽の C&Cサーバのアドレスがコードに埋めこまれていました。

図4：コードに埋め込まれた偽の C&Cサーバ

このアドレスは実際の C&Cサーバのアドレスではなく、感染PC が利用するポートを算出するために利用されます。例えば、この場合のポート番号443を「 (24*18)+11」として示しています。他の攻撃においても、同様の手法が確認されています。

「IHEATE」が利用する他のドメインも、「IXESHE」が利用するサーバと重複していました。2つのドメイン「ipv6pro[.]root[.]sx」 および「gimeover[.]psp-moscow[.]com」は、「IHEATE」に利用され、IPアドレス「200[.]93[.]193[.]163.」に解決されています。ほぼ同時期に「IXESHE」も、これらの同サーバを利用しています。唯一異なる点は、「IXESHE」の場合、ドメイン「skype[.]silksky[.]com」ドメインにアクセスして同サーバを利用していることです。

■ まとめ

「IXESHE」やそこから派生した「IHEATE」の脅威は、いずれもまだ勢いが衰えておらず、時間の経過とともに改良され、変化を繰り返しています。弊社はこの脅威を引き続き監視し、必要に応じて情報を更新していきます。

※協力執筆者：Razor Huang および CH Lei

参考記事：

• 「IXESHE Derivative IHEATE Targets Users in America」
  by Trend Micro

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

ある目的に特化した「端末」に、より汎用的な OSプラットフォームが搭載されることで私達の生活を便利にする機能が実現されてきました。最大の成功例は携帯電話は iPhone OS（現iOS）や Android OS を搭載した携帯電話、つまり「スマートフォン」でしょう。このような「スマート化」の流れは様々な家電製品に及び始めています。しかし、便利な機能を実現する OS のプラットフォームが不正プログラムに感染してしまうと、利用者に大きな不便をもたらすことになってしまいます。その具体的な例として、トレンドマイクロは、Android版端末ロック型ランサムウェア「FLocker（エフロッカー）」がスマートテレビをロックした事例を確認しました。

図1：スマートテレビの画面に表示されるランサムウェア

2015年5月に「FLocker」（「Frantic Locker」の略称。「ANDROIDOS_FLOCKER.A」として検出）と名付けられたランサムウェアが確認されて以来、トレンドマイクロはすでに 7,000以上の亜種を確認。作成者は、検出を回避するためにこの不正プログラムを「改良」し続けました。過去数カ月間、「FLocker」の増減が繰り返されており、最近では4月中旬に急増し、1,200以上の亜種が確認されています。

最近確認された「FLocker」の亜種は、法執行機関を装ういわゆる「ポリスランサム」です。多言語に対応しており、英語表示の場合は米国の「CYBER POLICE」等を名乗り、日本語表示の場合には「MINISTRY OF JUSTICE」（法務省の英語名）を名乗ります。このランサムウェアは、ユーザが犯してもいない犯罪に関与したと言い掛かりをつけます。それから、日本語表示の場合には1万~2万円分の iTunes ギフトカードを罰金として要求します。弊社の解析によると、今回、Android搭載のスマートテレビや TV Box に感染した「FLocker」はこれまでに確認された「FLocker」と違いはありませんでした。以下は「FLocker」の解析から得られた情報です。

「FLocker」は、静的解析による検出を回避するために、自身のコードを assets フォルダ内に生データファイルとして隠ぺいします。作成されるファイルの名称は “form.html” で、このファイルは一見普通のファイルに見えます。

図2：静的解析を回避する「FLocker」

このようにすることで “classes.dex” のコードはとてもシンプルなものになるため、そこに不正な挙動は確認できません。これは、静的解析による検出からの回避を狙ったものと言えます。“classes.dex”が実行されると、“form.html” を復号し、不正なコードを実行します。

図３: “classes.dex” のコード

図4: “form.html” から復号されたコード

「FLocker」は、まず実行されると、端末が以下のいずれかの国から発信されているかを確認し、該当すれば自身の活動を終了します。

• カザフスタン
• アゼルバイジャン
• ブルガリア
• ジョージア
• ハンガリー
• ウクライナ
• ロシア
• アルメニア
• ベラルーシ

図5：特定の国を回避する不正プログラムのコード例

もし「FLocker」の感染端末が上記以外の国にあった場合、感染30分後に不正活動を開始します。弊社はこれを「仮想環境（サンドボックス）」技術を使った動的解析を回避するための細工であると考えます。

その後、ランサムウェアの活動を実行するために、すぐに端末の管理者権限を要求します。ユーザがこれを拒否すると、不正プログラムはシステムの更新を偽装した画面を表示します。

「FLocker」はバックグラウンドで実行を継続しながら、遠隔操作用サーバ（C&Cサーバ）と接続しコマンドを受信します。

その後C&Cサーバは JavaScript のインタフェースを起動し、別の不正アプリ misspelled.apk と、“ransom” という HTMLファイルをユーザPC へ送ります。HTML のページは、不正アプリをインストールし、JavaScript のインタフェースでユーザの写真を撮影し、撮影した写真を脅迫状のページに表示する機能を備えています。

図6：モバイル端末の「FLocker」の脅迫状画面

画面がロックされている間、C&Cサーバは端末情報、電話番号、連絡先、現在位置その他の情報を収集します。収集された情報は、ハードコード化された AES方式で暗号化され、それから Base64方式でエンコードされます。

図7：C&Cサーバへ送信される情報

多くの場合、ランサムウェアは、SMS のスパムメッセージや不正なリンクを経由してユーザへ拡散されます。また、メールや Web を閲覧している際に、動画や音楽の再生、メッセージの受信やダウンロードの実現、セキュリティ向上のため、などの名目でインストールを促されることもあります。このためユーザはインターネットを閲覧するとき、あるいは未知の送信元からのメッセージやメールを受信するときに十分用心しなければなりません。

■ トレンドマイクロの対策

万一 Android搭載のスマートテレビや TV Box が感染した場合、最初に、端末の製造元に対策方法を問い合わせてください。

もう1つの方法として、コマンドラインツール「Android Debug Bridge（ADB）」を使用してデバッグを実行することにより、不正プログラムを削除することも可能です。端末を PC に接続して ADB Shell を起動し、コマンド “PM clear %pkg%” を実行します。これによりランサムウェアのプロセスを終了し、ロックを解除することができます。その後、アプリの管理者権限を無効にしてアプリをアンインストールすることができます。

モバイル端末を不正なプログラムや脅威から保護するためには、セキュリティ対策ソフトウェアをスマートデバイスにインストールしておくことをお勧めします。トレンドマイクロ製品では、法人利用者向けの「Trend Micro Mobile Security™」および個人利用者向「ウイルスバスター モバイル」で、この不正プログラムに関連する脅威からユーザを保護します。個人利用者向けの「ウイルスバスター モバイル」は Google Play からダウンロードすることができます。

※協力執筆者：Veo Zhang および Kenny Ye

「ANDROIDOS_FLOCKER.A」のハッシュ値：

• EC52052B4DC8C37708F9CD277A1EFAAABC4FE522
• 392E8B90431DFE55CA03E04A49FCE1514D61638E
• 73CFB54BD6830842553289D351A5C40EC821CE29
• EB4764C55F092006FE68A533D337BDA21CFFCBE7
• 57236520EE6FCB12ACB43A5CACE00EBBB7B9E257
• 2A8381E2B2FAF165F03CCF8BE2CCB82AE2BC6022
• 1E43ED84DD1E3ED18E3C4DAADF163B9E25217E0C
• BB7CF8958F3484AAD73D57A6995E483205367743
• 9C21A08BD4E329B5242B130765A420EB0DF6CF91
• 768720CCD207B37942477CCA7285CF1DFDF7C0C7
• F926D140680E84C59B0DA62FF08A4ABC42D209D3
• 054ACD9B7D569FCC00591CECAA378578019C848F
• 130F2311A3D4A9095AB7EDBAE54C4985BB59F384
• 1B112B8CE74BA85175628C1139CE77C8F5B867EC
• F230C9AFB23388F45127B09125E2EF34B5470F46
• 27D6595EA510D94D0E2EE3A9F9A878EB4B56195A
• 43E45499EA26406D8F3B8F661D58411A2D02073F
• D35FD629DD2D02D919F6538C0B3DF896A2A6FC0D
• 7C975AB7C7017A298BBE149B7F60303A3066691B
• 2EDAAB6EDF0DFE789462BB2985F7E27E73C9DE43
• 3E309D1AC8C03DA8E63B5A8F5E82061C5448A2C9
• 5B45B906EB5BD2B45000D961541A2330A562A96F
• 6B544DF15355ABBEE271E5A426B03EFBE3B245B2
• 1A50CA69472ECF5B0CCF8B39FD94665C0E16AB09
• C575D57CF8693EEB04C01110ADF8336BE2048C17

参考記事：

• 「FLocker Mobile Ransomware Crosses to Smart TV」
  by Trend Micro

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

ビジネスの成功のためには、良い顧客サービスが不可欠です。暗号化型ランサムウェアの作成者が、ユーザの身代金支払いプロセスの簡易化を考えていたとしても、意外ではないでしょう。今回確認された「JIGSAW」の亜種には、新しい手法が取り入れられていました。身代金を手に入れるために「Dark Web（ダークWeb）」の支払いサイトを利用するのではなく、ライブチャットサポートを利用してユーザと会話します。

この新しい亜種（「Ransom_JIGSAW.H」として検出）には、以前確認されている「JIGSAW」と類似した特徴が見られます。

図１：「JIGSAW」の脅迫メッセージ

しかし、これまでの「JIGSAW」との大きな相違が確認されています。今回の「JIGSAW」には、ライブチャットサポートへのリンクが記載されています。

図2：「JIGSAW」のライブチャットサポート

サイバー犯罪者は、ユーザに回答するサポート要員を実際に配置していました。どこまで回答してくれるかを確認するために、トレンドマイクロは、『業務に使用するPCが「JIGSAW」に感染した、ニューヨーク在住の会社員』を装いました。以下に示す会話は、左側が弊社、右がサイバー犯罪者です。以下は、実際の会話で編集していません。

この「JIGSAW」の背後にいるサイバー犯罪者は、専用のチャットのプラットフォームを作成していません。代わりに「onWebChat」という一般に入手できるチャットのプラットフォームを利用しています。onWebChat のクライアントを呼び出すスクリプトが Webサイトに埋め込まれています。onWebChat サーバへの接続は SSL/TLS による暗号化で保護されているので暗号化されたトラフィックを傍受するプロキシが存在しないため、解析のためのトラフィックのパケットキャプチャと傍受を困難にしています。弊社は、この点について既にonWebChat に報告しています。

興味深いことに、ライブチャットサポート側のサイバー犯罪者は、ユーザが正確にいつ感染したのか知りませんでした。「JIGSAW」のタイマーは、感染PC の cookie の設定に基づいているだけなので、cookie が削除されればカウントダウンはリセットされ、24時間に戻ります。つまり、身代金の支払額についてはユーザの正直な申告にかかっていることになります。

サイバー犯罪者にとって顧客重視のサポートを採用した結果思わぬ効果を得ているようです。いずれにしても、この暗号化型ランサムウェアの被害に遭ったユーザは、ファイルが暗号化された際、即座にサポート対応してくれる相手が存在することになります。これにより被害者は支払ってしまう恐れがあります。もちろん、支払うことは推奨しません。

もう一点注目すべきことが確認されています。弊社は、このライブチャットサポートをホストしている Webサイトを調査している時、もう１つの不正プログラムが同サイトを利用しているのを確認しました。しかし、この不正プログラムは、単純に端末をロックする不正プログラムで、セーフモードで再起動することによって回避し、削除することが可能です。

図3：もう1つの不正プログラムによってロックされた画面

今回確認された「JIGSAW」と単純にロックをする不正プログラムは、同じ Webサイトに同一の身代金要求額、そして “Ransom ID” を利用しているなど、全体的に類似していることから、どちらも同じサイバー犯罪者が関与していることは間違いないと考えられます。

このような顧客サービスを重視したランサムウェアは珍しいとはいえ、今までに全く例がなかったわけでありません。例えば、以前確認された「Curve-Tor-Bitcoin（CTB）Locker」の亜種は、ユーザのファイルを一部無料で復号していました。

■ トレンドマイクロの対策

トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策とることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、侵入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能（不正変更監視機能）の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。サーバ＆クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

• 法人向けダウンロードURL：http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
• 個人向けダウンロードURL：https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

「Ransom_JIGSAW.H」に関連する SHA1ハッシュ値：

• 71670ac6e52967b547d311df8cfb0172cbcd23c7
• ca84c5ec27f84348be84e971c85fe52f678ca8da

参考記事：

• 「JIGSAW Crypto-Ransomware Turns Customer-Centric, Uses Chat for Ransom Attempts」
  by Trend Micro

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

2016年に入り、ランサムウェアが一層の猛威を振るっていますが、その裏で国内ネットバンキングを狙うオンライン銀行詐欺ツールも活発化が見られています。トレンドマイクロではこの 5月末以降、オンライン銀行詐欺ツール「URSNIF」の電子メール経由での拡散を国内で確認しました。トレンドマイクロの調査では、今回拡散している「URSNIF」（別名：GOZI）では、地方銀行などの中小金融機関を中心に 40件弱の国内ネットバンキングを狙うものも確認されています。

図1：日本国内での「TSPY_URSNIF」の検出台数推移

■拡散の主体はメール経由
検出台数の推移をみると、オンライン銀行詐欺ツール本体である「TSPY_URSNIF」の国内での検出は 6月に入り急増していることがわかります。この検出台数急増に関わる主な拡散経路は、マルウェアスパムが中心です。トレンドマイクロでは最終的に「URSNIF」の拡散を行う多種多様なマルウェアスパムを確認しており、5月末以降本稿執筆時の 6月13日まででその数は合わせて 3万件以上となっています。中でも「年休申請」を偽装したメールは 6月1日から 6月7日前後まで拡散が確認され、トレンドマイクロが確認しただけでもおよそ 2000通が出回っていました。

図2：年休申請を偽装したマルウェアスパムの例

これ以外にも、「請負契約書」、「年次運用報告書」、「算定届出書」、「状況一覧表」、ネット通販からの「支払確認」など、様々な名目の文書を表す件名や本文のマルウェアスパムが確認されています。

図3：ネット通販サイトからの支払い確認を偽装したマルウェアスパムの例

いずれも直接の添付ファイルは ZIP圧縮ファイルとなっており、圧縮ファイル内には不正プログラムとしてスクリプトファイル（拡張子.js）もしくは実行可能ファイル（拡張子.exe、.scrなど）が含まれています。受信者が添付ファイルをオープンすることで不正活動が開始されます。今回確認されたものでは実行可能ファイルの場合、受信者に文書ファイルであると誤解させるために、二重拡張子や RLO（※）のような拡張子偽装の手法が使われていました。

※RLO：文字列右から左に読む形式にするための Unicode制御記号（Right-to-Left Override）を利用して、ファイル形式を誤解させようとする手口。例えば、FILENAMEcod.exeというファイル名に RLO制御記号を入れることにより、表示上はFILENAMEexe.docとなり、実行ファイルを Wordファイルであるかのように誤解させることができる

■添付ファイルから見る以前の攻撃との関連性
添付ファイルとして侵入する不正プログラムとしては「NEMUCOD」、「BEBLOH」、「PAWXNIC」と言ったダウンローダが確認されており、最終的に「URSNIF」がダウンロードされ感染し、ネットバンキングを狙う活動を開始します。ここで注目されるのが「BEBLOH」と「PAWXNIC」です。「PAWXNIC」は2月に確認された日本郵政を騙るマルウェアスパムなどの事例で使用され、その際は最終的に別のオンライン銀行詐欺ツールである「ROVNIX」を侵入させていました。また「BEBLOH」は3月以降にオンライン銀行詐欺ツールの本体として使用されていましたが、今回では単なるダウンローダとして「URSNIF」を侵入させるために使用されています。

今回、国内ネットバンキングを狙う活動が確認された「URSNIF」も2007年以前から存在するバックドア型不正プログラムファミリーです。2012年には海外のネットバンキングを狙う活動でオンライン銀行詐欺ツールとして使用されたことが確認されています。そもそもネットバンキングを狙う脅威の代名詞的存在である「ZeuS（ZBOT）」自体が元はボットでした。そして2016年に入り「ROVNIX」、「BEBLOH」と以前から存在するボット/バックドア型不正プログラムが国内ネットバンキングを狙うオンライン銀行詐欺ツールとして利用されるケースが目立っており、今回「BEBLOH」はもともとのバックドアの機能として使用されたということかもしれません。

このような利用される不正プログラムの共通点から考えると、これまで「ROVNIX」や「BEBLOH」を使用して国内ネットバンキングを狙ってきたサイバー犯罪者グループが、使用するツールを「URSNIF」に変えてきた、という可能性が見えてきます。もしくは、マルウェアスパムの送信を依頼されたグループが同じなためにダウンローダの共通点が見えているだけで、背後にいるサイバー犯罪者グループは異なるのかもしれません。これについてはさらなる調査を待つ必要があります。いずれにせよ、サイバー犯罪者が日本のネットバンキングを狙う新たな攻撃を実施したことは間違いありません。

■Web経由の拡散も同時に確認
今回の「URSNIF」の事例では Web改ざんから脆弱性攻撃サイト（EKサイト）へ誘導する「正規サイト汚染」による Web経由の拡散も確認されています。トレンドマイクロの調査では、5月24日前後から 6月10日までの間に、国内の中小中堅企業や学校などの法人サイト 160件が改ざんされたことを確認しています。これらの改ざんサイトを経由して、国内から合わせて 1万5000アクセス以上が EKサイトへ誘導されていたこともわかっています。一般的に同一の不正プロラムの拡散はメール経由か Web経由のどちらかの攻撃に偏ることが多く、今回の「URSNIF」のように、メール経由の拡散と Web経由の拡散が数万以上の規模で同時期に確認されることはあまりないことと言えます。今回の「URSNIF」の背後にいるサイバー犯罪者は、国内での大規模拡散を狙って複数経路の攻撃を行ったものと推察されます。

■情報詐取対象の国内ネットバンキング
昨今のオンライン銀行詐欺ツールでは遠隔操作サーバ（C&Cサーバ）から入手した「設定データ」により、情報詐取対象のネットバンキングサイトが決定されます。トレンドマイクロの調査によれば、今回の「URSNIF」の事例の中では 40前後のネットバンキングサイトを情報詐取対象としているものがあることが確認できました。情報詐取対象となった金融機関の内訳の例としては以下のようなものがありました。

これを見ると、地方銀行や共同化システム（比較的小規模の金融機関が共同で利用するシステム）など、攻撃者が比較的小規模の金融機関をこまめに攻撃対象に入れていることがわかります。これは、オンライン銀行詐欺ツールへの対策が進みにくい中小規模の金融機関の方が、自身の攻撃が成功しやすいことをサイバー犯罪者が意識しているものと推測されます。

図4：「URSNIF」が情報詐取のために表示する偽画面例

■被害に遭わないためには
オンライン銀行詐欺ツールなどの不正プログラムは一般的に、電子メール経由かWeb経由で PC内に侵入します。そもそもの侵入を止めるため、この 2つの経路での侵入を検知する対策製品の導入も重要です。

電子メール経由での拡散に関しては、添付ファイルを安全なものであるかのように受信者に錯覚させるクリックさせる手口が常套化しています。このような手口を認識することで、アイコンやファイル名などの条件から不審な添付ファイルに気づき、ひいては不正プログラムの感染を防ぐことができます。受信者を騙す手口は常に変化していきますので最新の攻撃手口を入手し、安易に添付ファイルを開かないよう注意してください。このようなマルウェアスパムの攻撃は、1回の攻撃では長くても数日のうちにメールの拡散が終了し、またインターバルを置いて異なる内容のメールが送信されることを繰り返しています。メールの内容は常に変化していくため、件名や本文のみに着目したメールフィルタリングでの対策は効果があまり期待できません。それよりも添付ファイルに着目し、実行可能形式ファイルやスクリプトファイルなど、攻撃に利用されやすいファイル形式の条件でフィルタリングする手法が有効です。

また、Web経由の侵入では脆弱性を利用した「見ただけで感染」する手法が中心となっています。改ざんサイトや不正広告から脆弱性攻撃サイト（EKサイト）へ誘導し、Flash Player、Internet Explorer、Java など Web閲覧の際に利用される技術の脆弱性を攻撃します。このような攻撃に対しては、脆弱性対策が最も効果的です。そもそも攻撃者が利用する脆弱性がアップデートにより修正されていれば、被害を受けることもありません。Windowsアップデートはもちろん、Adobe製品、Java のアップデートを欠かさず行ってください。

■トレンドマイクロの対策
今回の攻撃で確認された不正プログラムについては「ファイルレピュテーション（FRS）」技術により「TSPY_URSNIF」などとして検出します。「ウイルスバスター クラウド」、「ウイルスバスター　コーポレートエディション」、「ウイルスバスター　ビジネスセキュリティサービス」などのエンドポイント製品では「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応の不正プログラムであってもその不正活動を検知してブロック可能です。今回の「TSPY_URSNIF」では既存の挙動監視により検知できたことを確認しています。

今回の攻撃で確認されたマルウェアスパムについては、「E-mailレピュテーション（ERS）」技術で受信前にブロックします。また、添付ファイルについては「FRS」での検出の他、サンドボックス技術による動的解析により侵入時点で検出未対応の不正プログラムであっても警告し、ブロックすることが可能です。「InterScan Messaging　Security as a Service」、「Cloud Edge」などのメール対策製品では特に ERS技術と FRS技術を合わせ、危険な電子メールの着信をブロックします。また、「Deep Discovery E-mail Inspector」では特にサンドボックス技術により危険な添付ファイルを含む電子メールの着信をブロックします。

今回の攻撃で確認された不正プログラムがアクセスする不正サイトについては、「Webレピュテーション（WRS）」技術でアクセスをブロックしています。EKサイトやダウンロードサイトなど不正プログラムの拡散に使用される不正サイトや、不正プログラムが活動開始後にアクセスする遠隔操作サーバ（C&Cサーバ）を WRS技術でブロックすることにより、不正プログラムの侵入や被害の拡大を抑えられます。「InterScan Web　Security Virtual Appliance」、「Cloud Edge」などのゲートウェイ製品では WRS技術により、LAN内全体からの不正サイトへのアクセスをブロックできます。「ウイルスバスター クラウド」、「ウイルスバスター　コーポレートエディション」、「ウイルスバスター　ビジネスセキュリティサービス」などのエンドポイント製品でも WRS技術により端末からの不正サイトへのアクセスをブロックします。

また、ネットワーク内の不審な通信に早期に気づくことにより、全体的な被害を軽減させることが可能です。トレンドマイクロのネットワーク監視ソリューション「Deep Discovery E-mail Inspector」ではネットワーク内に侵入した不正プログラムの通信を検知し、感染端末の存在を早期に警告します。

本記事で言及している「URSNIF」については日本サイバー犯罪対策センター（JC3）からも以下の注意喚起がなされています：

「インターネットバンキングマルウェア「Gozi」による被害に注意」

調査協力：日本リージョナルトレンドラボ（RTL）

2015年7月、伊企業「Hacking Team」の情報漏えい事例によってエクスプロイトコードが流出し、多くの攻撃の連鎖を引き起こしました。発生から数カ月経過した今なお、情報漏えいの余波は継続しています。トレンドマイクロは、Hacking Team から流出したエクスプロイトを利用した不正な Androidアプリを複数確認しました。ある Webサイトで確認されたこれらのアプリは、エクスプロイトに成功した場合、攻撃者が遠隔操作でルート権限取得を可能にする不正アプリです。Android 4.4 KitKat およびそれ以前のバージョンで動作するモバイル端末は、この脆弱性を利用した攻撃の影響を受ける恐れがあります。これは Android端末全体の57％に当たります。

■ 攻撃の詳細

弊社の解析によると、不正なアプリは「reed」と呼ばれるエクスプロイトコードを含んでおり、このreedが Hacking Team から流出したエクスプロイトコード「Kernel Waiter Exploit」を取り込んでいます。Kernel Waiter Exploit は、モバイル端末にバックドアを設置するために、脆弱性 CVE-2014-3153 を突くルート化ツール「TowelRoot」を利用します。TowelRoot が利用する脆弱性は、Linux に存在する比較的古いもので、2014年に修正プログラムが公開済みです。

不正プログラムはこのバックドアを利用して、コマンド＆コントロール（C&C）サーバ「hxxps://remote[.]ibtubt[.]com/phone/」から、ルート権限で実行される最新のコードを受信します。

図1：Hacking Team から流出したエクスプロイトコード

攻撃の背後にいるサイバー犯罪者は、このエクスプロイトコードを、Webサイト「hxxp://risechen[.]b0[.]upaiyun[.]com」で公開されている複数のゲームアプリやランチャーアプリに埋め込みました。「Maria’s coffie shop」、「酷酷斗地主」、「iLauncher」、「One Launcher」および「Launcher IP Style 6」などがその例です。弊社は、エクスプロイトコードが埋め込まれているアプリをを少なくとも88個確認しました。なお、現在これらの不正アプリはどのサードパーティのアプリストアでも取扱っていないようです。

図2：エクスプロイトコードが埋め込まれた不正なゲームアプリの例

注目すべき点として、弊社は「Motion Launcher」と呼ばれるランチャーアプリの、不正でない古いバージョン「1.0.62_how_1504221926」が、Google の公式アプリストア「Google Play」で公開されているのを確認しました。不正なコードが含まれている方の新しいバージョン「1.0.78_how_1508051719」は、Google Play で公開されている古いバージョンのアプリと同じ証明書を使用し署名されていました。これはどちらのアプリも同じ作成者によって作成されたことを示しています。どちらのアプリのコードにも、同じ作成者名「Ren Fei」が記載されています。弊社は、不正なバージョンのアプリは Google の評価過程で落とされ、Google Play での公開に至らなかったと推測します。

図3：Google Play で公開されている、不正でないバージョンのランチャーアプリ

図4：不正でないアプリと不正アプリの対比。同じ署名から作成者が同一であることを示す

トレンドマイクロは、このエクスプロイトコードを「ANDROIDOS_TOWELROOT.A」として検出します。弊社クラウド型セキュリティ技術基盤「Smart Protection Network（SPN）」の統計によると、主にアジア太平洋地域のユーザが影響を受けています。

図5：「TowelRoot」が埋め込まれた不正アプリの影響を受けた国

■ 全貌を明らかにする

攻撃がどのように実行されるかをさらに理解するため、これまで得た情報をまとめます。まず、アプリが公開されている Webサイト「hxxp://risechen[.]b0[.]upaiyun[.]com」を調査しました。不正アプリが提供されていたコンテンツ配信ネットワーク（CDN）の Webサイト「upaiyun.com」は正規のクラウドサービスプロバイダですが、不正アプリはこのサービスを悪用して提供されていました。また、ユーザが Androidアプリのパッケージである APKファイルを、不正なサイトからダウンロードする時、あるいは他のアプリからのおすすめでダウンロードする時に「upaiyun.com」に誘導されることも確認しました。なお、弊社はこの事例について upaiyun に報告済みです。

問題のアプリは、不正なアプリストアである「hxxp://android[.]kukool[.]net/api/android/appstore/v2/realtime」にも接続します。中国のゲーム会社に所属するこの会社は、正規アプリをサードパーティのアプリストアへ、さらに Google Play へも配信しています。正規アプリに推薦されることによって、不正アプリが不正なアプリストアからユーザにダウンロードされます。

この攻撃で、サイバー犯罪者はモバイル端末にバックドアを設置するため TowelRoot を利用します。また C&Cサーバからダウンロードした任意の不正なコードをルート権限で実行することにより、モバイル端末のセキュリティを侵害することができます。更新されていないモバイル端末が感染するとその端末はボットの一部となることから、遠隔操作型不正プログラムと呼べるかもしれません。いくつかの亜種は端末管理者ロック機能やアンインストールを回避するためにアプリを非表示にする機能を備えています。

Lollipop 以降の最新の Android端末はこの攻撃による影響を受けません。そのため、論理的にはユーザが Android OS を更新すれば問題は解決しますが、異なる Android OS のバージョンが混在している現状、あまり実際的な対策ではないと考えられます。

■ トレンドマイクロの対策

トレンドマイクロの個人利用者向け「ウイルスバスター モバイル」および法人向け「Trend Micro Mobile Security™」は、未知のソースからのアプリをスキャンすることによりユーザのアンドロイド端末を保護します。「Trend Micro™ Mobile Security」に搭載されているクラウド型セキュリティ技術基盤「Smart Protection Network™（SPN）」 および「Mobile App Reputation」によって、これらの不正なアプリを検知し、またこの攻撃に関連する不正な URL をブロックします。もしすでに端末が感染している場合、バックドアを削除するためファームウェアの更新が必要です。

不正アプリの名称、SHA1ハッシュ値およびこの脅威に関連する URL は、こちらを参照してください。

※協力執筆者：Razor Huang および CH Lei

参考記事：

• 「Kernel Waiter Exploit from the Hacking Team Leak Still Being Used」
  by Veo Zhang（Mobile Threats Analyst）

※2016年5月19日に公開された記事の翻訳版です。

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

ブラジルは、ネットバンキングを狙った攻撃が多発する国として知られていますが、その点を考慮すると、サイバー犯罪者が「Software as a Service」ならぬ「Banking Trojans as a Service（サービスとしてのオンライン銀行詐欺ツール）」の活動まで始めたとしても不思議ではないでしょう。今回、トレンドマイクロで確認した事例では、技術に長けたサイバー犯罪者から初心者向けに「必要な機能を全て備えたオンライン銀行詐欺ツール」および「必要なコマンド＆コントロール（C&C）サーバとのネットワーク」といったサービスがレンタルで提供されていました。

今回確認した事例では、「サービスとしてのオンライン銀行詐欺ツール」の広告までがデモ動画として YouTube に掲載されていた点が注目に値します。広告によると、「Ric」と名乗る作成者が「サービスとしてのオンライン銀行詐欺ツール」を10日間600米ドル（約6万2千円。2016年6月21日現在）程でレンタルしているようです。このサービスは、機能的に設計されたコンソールや、ブラジルの各銀行が採用している追加認証プロセスを回避する機能まで備えています。

■ 広告

ブラジルのサイバー犯罪者は、自分たちのサービスをインターネットで宣伝することで知られていますが、その点では Ric も例外ではなく、自身の YouTube アカウントを利用し、以下のように広告を掲載していました。

図1：YouTube のプロフィール画面（クリックで拡大）

YouTube チャンネルには、「銀行詐欺ツールのレンタル、またはソースコードの販売をいたします。9つ以上の銀行に対応可能。バージョン2016」などという宣伝文が記載されています。

同チャンネルには、3つの動画がアップロードされ、それぞれオンライン銀行詐欺ツールの異なる特徴が説明されており、視聴回数は計1,000回程に達しています。各動画の説明には支払い方法のページヘのリンクが表示されています。Ric は、サービスに興味を持った購入希望者が直接交渉できるように、自身の Skype名も公開していました。弊社は、Ric は単独で活動しており、大きなサイバー犯罪組織に属していないと見ています。

Ric はまた、オンライン銀行詐欺ツールの変更履歴を公開し、購入希望者が変更点や改良点を確認できるようにしています。弊社は、このオンライン銀行詐欺ツールを「BKDR_MANGIT.SM」として検出対応しています。

図2：オンライン銀行詐欺ツールの変更履歴

「対応可能」な銀行の一覧も提供しています。

図3：対象銀行と他の Webサイト一覧

一覧には、ブラジルの最大手銀行の他、「PayPal」などのオンライン決済サービス、またブラジルのオンライン決済サービス「Mercado Livre」などの Webサイトが記載されています。インターネットサービスプロバイダや Webメールのプロバイダなど、他の Webサイトも一覧に含まれています。

全て込みのパッケージのレンタル料金は、10日間で2,000ブラジルレアル（約6万円。2016年6月21日現在）です。これは、ブラジルのアンダーグラウンド市場の相場では比較的高価と言えます。パッケージには以下のものが含まれています。

• 感染PC を管理、操作する為のコントロールパネル
• オンライン銀行詐欺ツール本体
• オンライン銀行詐欺ツールをユーザPC に感染させるためのローダー、ドロッパーなど
• 感染させた PC用の自動更新プログラム
• 攻撃を成功させるために必要な C&Cサーバ

C&Cサーバを自前で用意することが可能で、攻撃を詳細に制御したいユーザ向けには、ソースコードを30,000ブラジルレアル（約92万円）で販売しています。

■ どのように攻撃が実行されるか

サイバー犯罪志願者がこのサービスを購入した場合、レンタル期間中有効な認証情報と一緒に、管理用 Webサイトの URL が通知されます。サービス購入者は、用意した C&Cサーバへ標的にしたユーザを誘導するため、「ダイナミックDNS（DDNS）」機能を設定する必要があります。また、用意した不正URL へユーザを誘導するのも購入者の役目です。ここでは、フィッシング手法がよく利用されています。

現在ブラジルの銀行では、預金者の口座の多くが2要素認証の形式で保護されています。一般的には SMSメッセージやユーザ識別アプリなどで別途コードを取得させて入力させる2要素認証が採用されています。Ric が提供するサービスでは、このような2要素認証への対策として、あえて認証プロトコル自体を突破しようとせず、代わりに以下のように遠隔操作による不正送金を可能にします。

1. ユーザの PC にオンライン銀行詐欺ツールがインストールされると、攻撃者による感染PC の制御が可能となります。
2. ユーザが銀行の Webサイトにアクセスすると、攻撃者に通知されます。この通知は SMS で受信することも可能です。
3. その後、攻撃者はユーザの感染PC 画面を監視し、ユーザが銀行口座にログインするのを待ちます。
4. ユーザがログインすると、攻撃者は感染PC の画面をロックします。銀行の Webサイトには、ユーザに待機を促す偽のメッセージが表示されます。
5. 攻撃者が感染PC を操作し、不正送金や請求書の支払いなどの処理を開始します。
6. 銀行の Webサイトが攻撃者である操作者にユーザ認証のためにトークンを入力するように促すと、そのタイミングで攻撃者は被害者の画面ロックを解除し、代わりに偽のトークン入力要求画面を表示させ、ユーザに手続き継続のためにトークンを入力する必要があると思わせます。
7. 攻撃者は、入手したトークンを利用して不正な取引を完了します。

銀行により多少の差はありますが、攻撃の大枠についてはすべて同様です。現状、ブラジルのオンライン銀行詐欺ツールは情報窃取型が減少し、上述のような遠隔操作型が増加しています。

以下の図は、遠隔操作で使用されるコントロールパネルのスクリーンショットです。

図4：遠隔操作で使用されるコントロールパネル

このスクリーンショットは、Ric によるデモ動画から取得したもので、感染PC を遠隔操作し、偽のポップアップを利用して被害者にセキュリティコードやトークン、生年月日、携帯電話番号といった情報を入力するように指示している様子を表しています。あらゆる機能を網羅したアプリケーションであり、プロ並みの仕上がりです。

遠隔操作によって感染PC 上の取引が実行できるため、この不正活動の検出は更に困難になっています。ユーザのシステムを詳しく調べなければ、一見どのような取引もユーザPC から実行されているように、つまり実際にユーザが取引を行っているようにしか見えません。このような遠隔操作型オンライン銀行詐欺ツールの検出には、総合的な対策が必要になります。

■ Ric とはどのような人物か

この脅威に作成者として関わる Ric については、詳細は分かっていません。弊社が確認した範囲では、彼の「作品」は完成度が高く、技術に長けた人物であるということは分かります。彼は全てのコードを１から組み、ファイルを保護するためにパッカーを多用しています。中にはセキュリティ対策製品による検出を回避するため、自己発行の自己署名証明書を利用している検体もあります。

Ric は少なくとも他に3つのニックネームを使用し、ブラジル北部の地域に居住していると推察されます。ブラジル北部はサイバー犯罪の活動が盛んなことで知られています。昨年、弊社では「Lordfenix」というハンドルネームの若いサイバー犯罪者について報告しましたが、彼も北部ブラジルを拠点に活動していました。過去には、この地域のサイバー犯罪者グループの逮捕も報告されています。

■ 本稿の参考情報

本記事で取り上げた脅威に関連するハッシュ値は以下です。

• 0544ddf37ba1fa1cd1406e3230b71665f4d7f0e4
• 0a07ffa9214300a2b344012c891d21eca3fe518b
• 1248a4e8deba0969b157b04fd092e74e19819244
• 148959187df82a064d5117cad1390c123bd631fd
• 1bd6afddb00c2c3ebcd6f7804e2190b43c493989
• 1ce922aae75bf64012cab8d450f0d9885b159436
• 2021d0cd76069b0aa95cf9598720c9e1d65fe91f
• 2416b15f97528dd8186ac755e08c4f7668c02dad
• 245be19ca07d337b9fbe47674d25fb51459e3d44
• 259e299670e8a1e7d2f46c5782045b3153e5d6a9
• 2a2593cf050f30ae8ed4b9dd1807ca6f521b6d6a
• 2a7cc963e16abafa89ac8d56cc09668095a5a73a
• 30f06f3a9781cb50ae66ca1aa12c0503bbf08fad
• 34f3406a7441c3c7b21ffa0877e068e609a84050
• 3b7ad12650d9fd3db96781d5ba1267b70173ba6f
• 4108227957af840bae040e19473eb4d8b44b96d0
• 44bfd351bb56168433176914dfbd802c7d5d0d62
• 463720e81a715502f358f130f19aefcba197f61e
• 494c70aa394c9ac2357ffd24015fdf6520fc099e
• 4977d5ee347b165754ff7aeed1d7558c57470e47
• 54d5c67a0ec3369470c5ef3e349a8388ec16d129
• 5638de1f210601fbaad485a2697e025c74d3c115
• 591ff4b508dd2a95cb7902b8ee053faedc499cde
• 5e486833c60b71e06875413bc65e5e04294a477f
• 5f6d52c6e522b85e42795aa92080571013789edc
• 63f7cb0269c6025bedcbf5d504b017a2a6040922
• 63f7cb0269c6025bedcbf5d504b017a2a6040922
• 6f5ec43f961aed5ca1636a3076d20c194ac224a6
• 6fe8e9bc672075d67b7fcca8d91cf2965ff8faad
• 712f9abcda812bce969aabf737c2941e61a8c721
• 766e61c2fa635889d37b7102df962898493b51ad
• 79d263d20f90510fbac226fd74ad62e1a1c8d5d9
• 7b375374634c14ea44096b6867c5efe422792a18
• 7c2d0da47c6e25bd71df95b92af623bb3f9fdffb
• 7d010b949297d5c9c2a48ee576516ddae2d4cdcb
• 8463a6b1c20d21d402880901e2d8835fbca4684b
• 86f8832e4feec308d9502a68d387fccc781a07e1
• 884486e940e83da215d891d11d28e30edf63ac4e
• 88a2f63ae6cd0d0e78d0da8554436fd4e62fad14
• 8ea8fce842c9e793a8c19ffba17b86c89b15ac48
• 9bf2e20ccc8ad7e609b6c69cc63adaabd2b9a035
• 9c9934009a8087733e7c31c53af034c82ea534cb
• a9a266c5b71c20f5a1cde9227030dc94622e7c5e
• af350a24879f47b6b65abb9e3cda5b1545256979
• b024a8770e3e76c61149fcfbb151dcf824f8268e
• b14865b3f7c4ab15661ec06084a6bc90ae0ef92a
• b15051e1287ac53c93e388aae52e7986dbd7d3c6
• b1eab55c914c0883490fbc97f084c5798faa00a6
• c286dfc1b19bb5d758ce84d062dbd838b83c1912
• c8f90cbabbdc79f406505cfa7822c1b6ab668bed
• d170fbbad42d66f17ae29d88c3ef03241f936310
• d3415207af815b94880b3ec9397159009722595f
• d7a7345f91c2ec5950844db3a30b19f647bd534e
• d9aecea5197780c88c642f0b864391f5e5f3493a
• e0e0c1ec46cc5b740e73cffb4b3e6491bc049852
• e16fa5a4802915b9975e7883ccbb6de105f3919f
• e1bfec0463f02b46e317c28b4f9f3cecd2612481
• e22a3464a0036d66ebe50b16cfe30335167c2a43
• e2a1ea56b151147b58451b8b5799d1c268975d3d
• e380816231cff0967ff77c55bfadf60d76b4259d
• e6200a0020f164798d41a068734a20befa7effc1
• e65cb02eb39f64681eeed1cb7865ac66b6fd37c3
• ec2493b621a960900f8fcc749eb8ab7bacd70f7b
• f5728c4d3f94e6fc9399f243beaa795a9f728224
• f68cfd93bee778249d95cc67dc853ad22d149d67
• f849382d3bdb6b0d945cd29a3c85e52863c0a0d9
• f8e8dd3d5f18e4414db85caa467492c064af8276

この脅威に関連する Webサイトは以下のとおりです。

• hxxp://www.{BLOCKED} attisrl.it/libraries/phputf8/utils/JK2007.exe
• hxxp://{BLOCKED} cosmeticos.com.br/appword.exe

参考記事：

• 「Banking Trojans as a Service—Theft Made Easy in Brazil」
  by Trend Micro

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

本ブログ記事では、これまでもモバイル利用者を脅かす様々なサイバー脅威についてお伝えしています。しかし、大きな被害事例が継続して報告されている PC の危険と比べ、モバイル端末を利用する際の危険についてはまだまだ浸透していないのが現状ではないでしょうか。本連載ではトレンドマイクロの事件対応と調査分析から判明している、最新のモバイル脅威事情をお伝えいたします。第1回は脅威の侵入経路としてモバイルでこそ狙われてる「Web経由」の攻撃について、まとめます。

サイバー犯罪者がインターネット利用者を攻撃する際の経路は、ほぼ2つに集約されます。電子メール経由と Web経由です。PC の場合、電子メールの添付ファイルによる不正プログラムの拡散は大きな被害に繋がっています。しかし、一般的なモバイル利用者において、電子メールで添付ファイルを送る、受け取って開くという処理はあまり頻繁に行うことではないようです。また、現在モバイル端末で主流となっている２つの OS、Android OS と iOS の双方で主要なアプリの入手方法はインターネット上のアプリマーケット経由となっています。このため、モバイル利用者に不正アプリをインストールさせるための手法としては、電子メールの添付ファイルよりもあらかじめ用意した不正な Webサイトへ誘導する手口の方に利があるようです。

図1: 不正サイトへ誘導された国内モバイル利用者数推移（トレンドマイクロSPNによる）

上図はモバイル端末から不正サイトへアクセスした国内モバイル利用者数の推移です。増減はあるものの全体として増加傾向にあること、最低でも4万、直近3カ月となる3~5月は連続して10万以上のモバイル利用者が不正サイトへアクセスしたことがわかりまず。これを見る限り、サイバー犯罪者の狙いは成果を上げてしまっているようです。

では、サイバー犯罪者はどのようにしてモバイル利用者を不正サイトへ誘導するのでしょうか？ 最近の攻撃事例からは、電子メールよりもソーシャルメディア上の投稿やメッセージにより利用者を誘導する方法がわかっています。また PC同様の不正広告による誘導も確認されています。そして、最終的に利用者を騙すソーシャルエンジニアリング手法により、不審なアプリをインストールさせる手口もわかっています。

■ 不正サイトへの誘導方法

サイバー犯罪者は様々な方法で Twitter や Facebook のアカウントを乗っ取り、メッセージや投稿などの手段での誘導を試みます。特に Facebook は継続して様々な手法での誘導投稿があり、写真やイベントを投稿し、友人をタグ付けすることで友人のタイムラインに表示させようとする手法が見られており、Facebook のメッセンジャーで HTMLファイルを送信し、不正サイトへ誘導する手口もありました。

図2: HTMLファイルを添付した Facebookメッセージの例 br>

また、PC の脅威と同様の「不正広告」の手口により誘導する方法も見られています。PC向けの不正広告では脆弱性攻撃サイト（EKサイト）への誘導により「自動的に感染」させるものがほとんどです。しかし、モバイルではそのような脆弱性の利用による「自動感染」の手口は現在のところ確認されておらず、表示されるメッセージによって利用者にアプリのインストールを仕向ける手法がとられています。

またこのような手口で誘導される不正サイトには、最終的にアプリをインストールさせる目的のもの以外にも、フィッシング詐欺サイト、不審なショッピングサイト（偽ブランド品販売サイトや有名サイトに似せたデザインのサイトなど）なども確認されています。最終的にどのような不正サイトへ誘導されるかはアクセス前の段階にはわかりませんが、いずれにせよ利用者にとって有益なものではありません。

図3: 誘導される偽ブランド品販売サイトの例

■ 利用者を騙すソーシャルエンジニアリング手法

最近の攻撃事例で利用者を騙すための手口として最も多く見られているのが、ウイルス感染メッセージなどの偽のセキュリティ警告により、セキュリティアップデートやウイルス駆除の名目で利用者にアプリをインストールさせようとするものです。不正広告でも利用されていますが、不正サイトへのアクセス時に偽セキュリティ警告が表示された場合も確認しています。

図4: 不正広告における偽セキュリティ警告の例 br>

図5: 不正サイトにおける偽セキュリティ警告の例 br>

偽セキュリティ警告以外の手口としては、画像の表示や音楽や動画の再生、またメッセージのやり取りなどを行うために必要なアプリ、という名目で利用者にインストールを促す手口が確認されています。

また、このような表示を行う不正サイトはマルチデバイスへの対応がなされていることが多く、例えば PC でアクセスした場合には OSを判定して PC向けの表示を行います。これはサイバー犯罪者がデバイスによる攻撃の使い分けをしていることを示しており、モバイル端末が攻撃対象としてはっきり認識されていることを示していると言えます。

図6: 同一不正サイトへ PC でアクセスした場合表示例 br>

また、モバイル環境としては Android に比べセキュアであると考えられている iOS もこのような誘導手口の対象となっています。iOS では一般に正規アプリマーケットである AppStore 経由でしかアプリのインストールはできないと考えられていますが、法人でのアプリ配布のための仕組みである「プロビジョ二ングプロファイル」を悪用し、AppStore を迂回してアプリをインストールさせる方法が確認されています。 iTunes Store の偽サイトへの誘導も見られており、iOS 端末も十分攻撃対象となっていると言えます。

図7: iTunes Store と誤解させる偽サイトの表示例 br>

■ 不正サイトへのアクセスによる最終的な被害

これらの騙しの手口によりアプリインストールを促す不正広告や不正サイトから、最終的にインストールされるアプリはどれほど凶悪な不正アプリなのでしょうか？予想に反し、このような手口でインストールされるアプリは、実際には不正アプリではなく正規マーケット上で配布されている正規アプリである場合の方が多いようです。これは PPI（Pay Per Install）というアフィリエイトプログラムなどの利用により、正規アプリをインストールさせることで金銭的利益を得ようとする手口です。この手法であれば、一般利用者にとっては迷惑と感じることがあるかもしれませんが深刻な実害はないため、サイバー犯罪者としては不正活動として追及を受けるリスクを負わずに金銭を得ることが出来ます。また、同様に不正とまでは言えない迷惑ソフトやアドウェアに分類されるアプリをインストールする場合も見受けられます。PC でも、不正プログラムよりもグレーなソフトや PUA と呼ばれる迷惑ソフトの検出の方が多くなっている実態がありますが、モバイルでも同様となっています。ただし、最終的にインストールされるものが正規なものであるのか、迷惑ソフトレベルのものか、不正アプリであるのかはインストールが完了してみないとわかりません。特にワンクリック詐欺ソフトや情報窃取型不正アプリがインストールされ、金銭が要求されるようなケースも実際に存在していますので、君子危うきに近寄らず、という対応が正解です。

次回は、有名アプリに偽装して利用者を騙す「リパックアプリ」の手口と実態について紹介します。

■ 被害に遭わないためには

現在不正アプリや迷惑ソフトのほとんどは正規マーケットではなく、不審なサードパーティマーケットから配布されています。正規の Android向けアプリマーケットである「Google Play」や携帯電話事業者などが運営する信頼のおけるサードパーティマーケットからのみ、アプリをインストールしてください。普段は Android OS のセキュリティ設定から「提供元不明のアプリのインストールを許可する」の設定を無効にしておくことを推奨します。意識して信頼できるサードパーティマーケットからアプリをインストールする場合のみ「提供元不明のアプリのインストールを許可する」を有効にしてインストールを行ってください。

■ トレンドマイクロの対策

トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」の機能である「モバイルアプリケーションレピュテーション（MAR）」技術や「Webレピュテーション（WRS）」技術により、不正アプリや不正Webサイトのブロックに対応しています。

既に周知されているランサムウェアを利用していてはさらなる収益は見込めないと考えたサイバー犯罪者は、標的となるユーザ層を拡大して身代金の収益率を上げようと、様々な実用的新機能を取り入れた新しいファミリを次々と作成しています。

その一例として、今回暗号化型ランサムウェア「RAA（アール・エイ・エイ、「RANSOM_JSRAA.A」として検出）」について報告します。ランサムウェアは、通常、「exe」「dll」といった拡張子のファイル形式が多い中で、「RAA」はすべてが Webブラウザ上で実行されるスクリプト言語で記述されている数少ない暗号化型ランサムウェアです。この暗号化型ランサムウェアは、報告されている JavaScript ではなく、弊社の解析によると、JScript で記述されています。なお、JavaScript も JScript も Java とは別のものです。これら3つの違いについて Microsoft による説明が公開されています。このスクリプト言語は Windows システムのために開発されたもので、スクリプト実行環境「Windows Script Host」エンジンによって、Internet Explorer（IE）で実行されます。そして、この暗号化型ランサムウェアは最近のブラウザである Microsoft Edge では実行できません。

おそらくサイバー犯罪者は、スクリプト言語「JScript」を利用することで、検出回避率の向上を狙ったと推測します。JScript はポリモーフィズム機能を実現し、難読化を容易にします。

図1：ロシア語で書かれている「RAA」の脅迫状には、感染ファイルを復号するための鍵とソフトウェアの代金0.39ビットコイン（約27,151円。2016年6月23日現在）を送金する方法について記載されている

JScript は、一見 JavaScript に類似していますが、これは両方共 ECMAScript から派生していることに由来します。程度の差はありますが、これらのスクリプト言語には互換性があります。極めて簡単に言えば、JScript は Microsoft が ECMAScript を実装したもの、そして JavaScript は Mozilla が ECMAScript を実装したものです。明確な違いの１つは、JScript は、IE に示されるオブジェクトつまり ActiveX オブジェクトへ、また、「WScript」のような他のシステムオブジェクトへのアクセスが可能である点です。

図2： WScript に関する6行目から、JScript であることがわかる

■ なぜ JScriptなのか

ランサムウェアの作成にスクリプト言語を利用するのは、今に始まったことではありません。Cryptowall 4.0のダウンローダは、JScript で書かれていましたし、PowerWareでは、タスクに応じて PowerShell が利用されていました。 Ransom32 は、すべて JavaScript で書かれていますが、そのパッケージには通常のファイル、つまり匿名通信システム「The Onion Router（Tor）」クライアント、サーバ側の JavaScript 環境「Node.js」、そしてスクリプトの実行に利用するモジュールが含まれていました。

不正プログラムの多くはコンパイルされたプログラミング言語で記述されています。ランサムウェアの場合はそれが実行ファイルの形をとっています。使用頻度の低いプログラミング言語で記述することが、検出回避に繋がり、拡散に有利と考えられています。サイバー犯罪者は攻撃には時間が大きく影響することを知っており、作成した不正プログラムが検出されるまでの時間の長期化を図り最大の利益を得ようとします。

これらのスクリプト言語は、記述が容易である点の他、移植することも容易です。最近の Windows OS 搭載機器では、コードに変更を加えることなく実行することができます。例えば、Windows Scripting Host の JScript の実行は、Windows XP から可能となっています。

■ 「RAA」コードの詳細

「RAA」は IE の「クロスサイトスクリプティング（XSS）」のような攻撃方法による以外に実行できないため、他のブラウザでは実行することができません。また Windows Script Host の実行も必要とします。ActiveX オブジェクトの実行も IEブラウザによって認証される必要があります。「RAA」の随所に利用されている WScript が、他のブラウザでは実行できない要因になっているようです。例として以下の１行は Chromeブラウザではエラーを引き起こします。

図3：不正プログラムが Chromeブラウザで実行された場合のエラーメッセージ

一方で、この不正プログラムはスクリプト自体をクリックするだけでも実行させることが可能です。スパムメールの添付書類や、Office文書のオブジェクト、あるいはコマンドラインを介して実行できます。不正プログラムのファイル名は、以下のいずれかが該当します。

• st.js
• ST.js
• mgJaXnwanxlS_doc_.js
• _mgJaXnwanxlS_doc_.js

解析によると、「RAA」は CryptoJS を利用して暗号化を行います。CryptoJS は JavaScript に実装されている暗号化アルゴリズムのオープンソースライブラリで、AES-128、AES-192および AES-256に対応しています。

暗号化されたデータのファイル名には、拡張子「locked」が追加されます。これまでに「RAA」は16のファイル形式を暗号化することが確認されています。ファイル名に「.locked」、「~」および 「$」などが含まれる場合、暗号化を避けます。また、以下のディレクトリ下にあるファイルは暗号化しません。

• Program Files ( x86を含む)
• Windows
• Recycle Bin
• Recycler
• AppData
• Temp
• ProgramData
• Microsoft

また、「RAA」は Base64暗号化方式を利用し、情報収集型不正プログラム「FAREIT」を作成し復号します。この不正プログラムは「Pony」という名称でも知られています。この不正プログラムは、File Transfer Protocol (FTP) クライアントや他のファイル管理ソフトウェア、Outlook のようなメールソフト、Webブラウザ、また仮想通貨「Bitcoin（ビットコイン）」の Walletに保存されている認証情報を窃取し、得た情報を C&Cサーバへ送信する不正プログラムとしても知られています。この不正プログラムは「Volume Shadow Copy Service（VSS）」に関連する以下のレジストリを削除します。

このようにしてシステムのアプリケーションが記憶領域に書き込みをしている間は、バックアップも復元も不可能になります。これは、当然この暗号化型ランサムウェアの成功につながっています。

「DMA Locker 4.0」（「RANSOM_MADLOCKER.B」として検出）と暗号化型ランサムウェア「JIGSAW」の特定の亜種の挙動にも見られるように、「RAA」はいくつかのファイルを無料で復号してくれます。これは恐らく、実際にファイルの復号が可能であると請け合うための駆け引きと思われます。またビットメッセージを利用した専用のカスタマーサポートも用意しています。ビットメッセージとは、分散型ピアツーピア（P2P）の通信プロトコルで、暗号化されたメッセージの送信に利用されます。

■ 推奨事項およびトレンドマイクロの対策

サイバー犯罪者は、さらに多くのシステムをランサムウェアに感染させようと企み、新しい手口の考案に余念がありません。今回の事例では、検出を回避する、つまり PCから暗号化型ランサムウェアが除去されないようにするため、スクリプト言語を利用している手口を報告しました。

3-2-1ルールに従いバックアップを取ることによって、「RAA」のような暗号化型ランサムウェアの被害を緩和することが可能です。

• 3つ以上のコピーを保存
• 2つの異なる種類の端末に保存（例：ハードドライブおよび USB）
• そのうちの１つは他の2つとは異なる場所に保存（例：自宅とオフィス）

トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、「RAA」のような暗号化型ランサムウェアによる被害を最小にするための対策を提供します。

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」およびWebゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能（不正変更監視機能）の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。サーバ＆クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」は、不正なファイルやスパムメールを検出し、関連する不正なURLをブロックすることによって、強固な保護を提供します。

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

• 法人向けダウンロードURL：http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
• 個人向けダウンロードURL：https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

この脅威に関連するハッシュ値：

• 2C0B5637701C83B7B2AEABDF3120A89DB1DBAAD7 – 「RANSOM_JSRAA.A」として検出
• 822BF6D0EB04DF65C072B51100C5C852761E7C9E – 「TSPY_FAREIT.YYSVN」として検出

※協力執筆者：Renaud Bidou、 Jasen Sumalapao および Jaaziel Carlos

参考記事：

• 「JScript-toting Ransomware Can Steal Your Passwords and Bitcoin Wallets, Too」
  by Trend Micro

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）

トレンドマイクロは、2016年3月、エクスプロイトキット最新動向分析について報告。その中で、「Angler Exploit Kit（Angler EK）」が2015年に検出されたエクスプロイトキットにおいて59.5%と首位であったことに言及しています。ところが今や、Angler EK はほぼ壊滅状態にあります。

2016年6月、報道によると、50人のサイバー犯罪者が不正プログラムを利用して2,500万米ドル（約25.55億円。2016年6月24日現在）を窃取しようとした容疑で逮捕されました。そしてこの報道後、興味深いことに Angler EK の活動がほぼ停止しました。Angler EK の活動の停滞について説明した報告によると、サイバー犯罪者は、不正プログラムを拡散させるため Angler EK に代わる新しいエクスプロイトキットを探して緊急対応しています。Angler EK は、非常に利用されたエクスプロイトキットでした。その理由として、新しく確認された脆弱性を素早く自身の攻撃に利用するだけでなく、不正プログラムを暗号化して拡散したり感染にファイルを利用しないなど、セキュリティ対策を回避する手法を用いていたことが挙げられるでしょう。

弊社は、Angler EK の活動の大幅な減少に伴い、エクスプロイトキットの活動全体の大幅な減少を確認しました。Angler EK 以外のエクスプロイトキットの活動の増加も確認していますが、それらはAngler EK が抜けた穴を埋めるには及びません。どうやら Angler EK を利用していた脅威活動すべてが他のエクスプロイトキットへ鞍替えしたというわけではないようです。

図1：2016年5月15日から6月15日にかけてのエクスプロイトキットの活動

Angler EK は、ランサムウェアを感染させるためによく利用された攻撃ツールでした。Angler EK の活動の停滞がランサムウェア全体の活動に影響するでしょうか？　弊社では、「Magnitude EK」が2016年3月以降、暗号化型ランサムウェア「CERBER」を拡散するエクスプロイトキットとなり、また「Sundown EK」が5月に暗号化型ランサムウェア「Locky」の拡散に利用されているのを確認しました。また、2015年に「Rig EK」が暗号化型ランサムウェア「CryptoWall」と「CRYPTESLA（別名：TeslaCrypt）」を拡散しているのも確認しました。どのエクスプロイトキットを利用するかの選択肢から Angler EK が消えた今、かつては Angler EK を利用していた「CryptXXX」は、「Neutrino EK」に移行しているのも確認しています。拡散手法では Angler EK の次に効果的な上述のエクスプロイトキット、Rig EK と Sundown EK を利用する新しいランサムウェアファミリも出現しています。

■ 他のエクスプロイトキット

エクスプロイトキット Rig EK は、「Hacking Team」の事例で漏えいしたゼロデイ脆弱性や Adobe Flash Player の脆弱性などを利用します。約40カ国に影響を与えたことで知られ、中でも主に日本を標的にしていた、最近の「malvertisement（不正広告）」キャンペーンの影にはいつも Rig EK が存在していました。

図２：2016年６月１日から16日の間に Rig EK が検出された国分布

一方、Sundown EK は Adobe Flash Player に存在する解放済みメモリ使用 (use-after-free) の脆弱性を利用します。Rig EK と同様に Sundown EK も日本を頻繁に狙っています。Sundown EK の攻撃は、いつもランサムウェアを拡散するわけではないことに注意してください。

図３：2016年６月１日から16日の間に Sundown EK が検出された国分布

■ 新しいランサムウェアが利用するエクスプロイトキット

Rig EK は、最近では、「RANSOM_GOOPIC.A」として検出される新しいランサムウェアの拡散活動に利用されていました。500米ドル（約5万円）の身代金を要求するこのランサムウェアが表示する脅迫文などは、洗練されたインターフェイスが利用されています。

図４：「RANSOM_GOOPIC.A」のインターフェイス

「RANSOM_GOOPIC.A」のもう1つの変わった特徴は、復号鍵を削除する前に、長期間の身代金支払期限を被害者に与えることです。従来のランサムウェアは、大抵24時間から72時間の猶予を与えるのが普通でした。長時間の猶予が特徴であった「CryptXXX」のようなものでさえ最大90時間程でしたが、このランサムウェアは200時間以上の猶予を与えます。

図5：支払期限まで200時間以上

Sundown EK は、一方、「CryptoShocker 」（クリプトショッカー、「RANSOM_CRYPSHOCKER.A」として検出）を拡散します。しかし、名前ほど「ショック」を与える暗号化型ランサムウェアではありません。200米ドル（約2万円）をユーザに要求するこのランサムウェアは、ビットコイン取引所のロゴまで用意して宣伝しています。

図7：ランサムウェア「CryptoShocker 」の脅迫状

■ トレンドマイクロの対策

エクスプロイトキットは、脆弱性を利用して攻撃を仕掛けます。そのため、こうしたエクスプロイトキットの被害に遭わないためにも、インストールしているソフトウェアおよびオペレーションシステム（OS）を最新の状態にしてください。また、不正な Webサイトへ誘導される恐れのある、未知の送信元からのリンクをクリックしないでください。

トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」およびWebゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能（不正変更監視機能）の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」は、「文書脆弱性攻撃コード検出を行うエンジン（Advanced Threat Scan Engine、ATSE）」などによりランサムウェア脅威を警告します。サーバ＆クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」は、不正なファイルやスパムメールを検出し、関連する不正なURLをブロックすることによって、強固な保護を提供します。

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

• 法人向けダウンロードURL：http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
• 個人向けダウンロードURL：https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

この脅威に関連するハッシュ値：

• d6bbf02ec922ba035d863ec813221f15ab4c2bfb – 「Ransom_GOOPIC.A」として検出
• 02126b0f507d38b03624599e782931e43c5e7141 – 「Ransom_CrypShocker.A」として検出

※協力執筆者：Jaaziel Carlos

参考記事：

• 「After Angler: Shift in Exploit Kit Landscape and New Crypto-Ransomware Activity」
  by Joseph C Chen（Fraud Researcher）

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）