Android端末ロック型ランサムウェアの「SLocker」が、スマートテレビをロックして身代金を要求した事例が報告されている。
SLockerは2015年5月から確認されているランサムウェア。実行されると、感染30分後、端末の管理者権限を要求してくる。ユーザーが要求を断ると、SLockerはシステムの更新を偽装した画面を表示する。そしてバックグラウンドで実行を継続しながら、遠隔操作用サーバーと接続してコマンドを受信する。
一方の遠隔操作用サーバーは不正アプリ・HTMLファイル・JavaScriptを端末へ送信し、ユーザーをだましてインストールさせた不正アプリがユーザーの写真を撮影。撮影した写真が脅迫状のページに表示される。
また、端末がロックされている間に、遠隔操作用サーバーが端末の情報、電話番号、連絡先、現在地情報などを収集するという、きわめて悪質なものだ。
ランサムウェアにスマートフォンがロックされる被害報告が増えている昨今、今後はより多くのデバイスが標的になるかもしれない。McAfee Blogの過去記事「『ランサムウェア』の次の標的」から、ランサムウェアの問題点をチェックしておこう。
スマートTVや会議用機器が危険!? 「ランサムウェア」の次の標的とは?
PCとサーバーの防御機能が高度化し、ランサムウェアの脅威に対する従業員の知識が向上するにつれ、犯罪者はスマートTVや会議用機器、あるいはセキュリティーで保護されていないその他のデバイスなど、よりセキュリティーが弱いシステムを狙うようになるでしょう。
ランサムウェアは、ユーザーのファイルを暗号化し身代金を要求するマルウェアです。感染したユーザーがロックを解除するためには、金銭を支払って暗号化キーを入手しなければならないという悪意あるソフトウェアで今のところ上々の成果を上げています。当初は消費者を標的にしていた犯罪者が、今や、企業や政府機関を対象に、より価値の高いデータに対して更に高額な身代金を要求しています。ランサムウェアがあまりに巧妙なため、ともかく身代金を支払うようFBIが被害者に勧めることもよくある、というFBI捜査官の発言さえあります。
これは、この問題の長期的解決策として受け入れられるものではありません。犯罪者の技術がますます進化していることが明白な現状ではなおさらです。
一般的に、マルウェアの脅威はいくつかの段階を経て進化します。まずは小規模な攻撃が開始されます。このときマルウェア作成者は、狙ったとおりの成功率を達成する手法を特定できるまで、標的システムを値踏みしています。その後、技術が成熟し、大掛かりな作戦によって儲けが得られるようになると、消費者から企業へと攻撃の規模が拡大します。その次の段階では、大規模攻撃から標的を絞った攻撃へと移行します。防御側は一般的な攻撃手法に順応し、犯罪者はより価値の高い標的を特定し、特定利益団体はそれぞれ固有の目的に応じて技術を導入するようになります。
ランサムウェアは現在、規模の拡大から標的の絞り込み段階への移行中で、配信メカニズムの機能を高度化し、被害者から金銭を得るためのより有効な方法を探しているところです。
ランサムウェアは非常に厄介なマルウェアです。他のマルウェア感染と違い、復旧するためのクリーニングや除去ツールを実行できないため、防御側はランサムウェアが動作する前にそれを特定しなければならないからです。とはいえ、オフラインでのバックアップは予防措置として妥当かつ有効で、ランサムウェアの大半の機能を無力化することができます。最近では、私たち(警察およびセキュリティー業界)がCryptoLockerなどのランサムウェアサーバーを発見し、機能停止に成功した事例も数多く存在します。※CryptoLocker関連記事はこちら
その結果、ランサムモデルはデータをわずか1ステップで暗号化するように変化しつつあります。攻撃者は、社内から送信されたように見える電子メールなど、標的を絞った攻撃を利用して、脆弱なシステムに悪意のある暗号化ツールを埋め込みます。そのあとファイルまたはデータストリームを暗号化したら、貴重な財務情報であれ、不都合な内容の電子メールであれ、ユーザーが金銭を払ってでも秘密にしておきたいデータを公表すると脅迫します。Anti-Botnet Advisory Centre(ボットネット対策相談センター)によると、ドイツで最近発生したランサムウェア攻撃では、「Chimera」というランサムウェアが、ユーザーが600ユーロを超える身代金を支払わなければそのファイルを公開すると脅迫しています。Chimeraが実際にユーザーのファイルをエクスポートし、脅迫した内容を実行できるかどうかは不明です。しかし、もしできなかったとしても、次に現れるランサムウェアは実行できるでしょう。
ランサムウェアの次の標的
ランサムウェアは次にどこへ向かうのでしょうか?私たちは、自分たちの生活に多くの技術を導入すればするほど、攻撃者の創造力も増幅させています。PCとサーバーの防御機能が高度化し、ランサムウェアの脅威に関する従業員の知識が向上するにつれ、犯罪者は攻撃のベクトルを変化および増大させ、スマートTVや会議用機器、あるいはセキュリティーで保護されていないその他のデバイスなど、よりセキュリティーが弱いシステムを狙うようになるでしょう。
企業幹部のテレビから取り込んだ音声、役員会議の録画映像、あるいは、個人的なファイルから入手した厄介な内容を公開すると脅迫している犯罪者が企業にもたらすリスクを考えてみてください。データの暗号化を解除するための身代金と、情報を公開しないことに対する割増金を要求するこの脅迫は、犯罪者にとっては現在の犯行よりもさらに稼ぐことができる新たな機会となる可能性があります。
攻撃が規模の拡大を狙ったモードから標的を絞ったモードに移行した場合は、ネットワーク全域およびクラウド全域において複数の地点で攻撃を検出できる、共通の情報戦略が必要です。ユーザーは、それが金銭目的の組織犯罪であるか、企業秘密を暴露するためのハッキング行為であるかなど、考えられる動機を知っておく必要があります。攻撃者の人物像を理解しておくと、貴重かつ脆弱なデータを特定し、セキュリティー対策の優先順位を付ける際に役立ちます。
ランサムウェアは、テクノロジーの利用と共に進化する脅威の一つにすぎません。そのテクノロジーがクラウドコンピューティングであろうと、IoT(Internet of Things:モノのインターネット)デバイスや仮想化であろうと、セキュリティーのニーズは変化し続けており、防御側の連携強化や、警察、業界団体、サプライチェーン提携先とのより広範囲な協力関係、さらには事態に即応できる自動化の促進が求められています。
元の投稿については、Dark Readingを参照してください。
※本ページの内容は2015年12月1日更新のMcAfee Blogの抄訳です。
