履歴書を装い、コンピュータを二重に暗号化する Goldeneye ランサムウェア

この記事を公開できるように尽力してきた SophosLabs の Dorka Palotay に感謝します。

過去から学べることはたくさんあります。

過去を振り返ることで、ランサムウェアの被害者にならずに済みます。ランサムウェアの多くは、ユーザーを騙して、攻撃を阻むセキュリティ対策を迂回しようとします。

一度でも攻撃を経験したユーザーは、そうしたセキュリティ対策の重要性を身に沁みて知っています。

しかし、慎重かつ自信のあるユーザーであっても、またランサムウェアの被害を一度も受けたことのないユーザーであっても、偶々被害に遭わなかっただけで問題のあるオンライン行動を取ったことがあるはずです。

うっかり不要な電子メールや添付ファイルを開いてしまい、マルウェアに感染こそしなかったものの、後になって「なぜ自分はあのメール/文書を信頼してしまったのか」と不思議に思った経験は誰にでもあります。

技術的な話など、真実味のある嘘を重ねてユーザーを信頼させる手法はソーシャルエンジニアリングと呼ばれるもので、ほとんどのランサムウェアで用いられている手口です。

最近ドイツで発生したスパム攻撃を検証したところ、サイバー犯罪者が考案した手法が明らかになりました。この手法では、Goldeneye を名乗る新型のランサムウェアが使用されており、PDF ファイルと XLS (Excel スプレッドシート) の 2 ファイルが添付されていました (下図参照)。

それほど注意深くないユーザーも、最近では予期していない Excel ファイルに対して警戒するようになっています。そこで攻撃者は、ユーザーが不審に思わないように感染していない求人応募書類の PDF ファイルを添付するようになったと思われます (メールの件名にある Bewerbung申込書の意)。

(攻撃者が信憑性を高める目的で本物の履歴書を盗んで使用していると思われるため、上図は編集を施してあります。)

2 ページ目には応募者の写真があります。最終ページには、応募書類に通常記載されている情報を含んだ Excel ファイルを指し示す丁寧な文章が記されています (下図参照)。

ファイルを開くことを明示的に要求する文言はありません。

つまり、この電子メールは本物の履歴書を装っています。

多くの企業は、求人中でなかったとしても、ふさわしい応募者がいれば履歴書を保存しておくものです。したがって、応募書類を確認するのはおかしなことではありません。

その後の展開

Exel ファイルを開くと、応募者の情報が表示される代わりに、適性検査の結果を表示させる方法が表示されます (下図参照)。

攻撃者は、明らかにリスクを伴う操作 (「マクロの有効化」、「デフォルトのセキュリティ設定の無効化」など) をあからさまには要求してきませんが、Office の設定を変更するよう勧めます (問題のファイルには VBA (Visual Basic for Applications) のマクロが組み込まれているため)。

Office マクロで使用されている VBA プログラミング言語は、攻撃者がプログラムで Word や Excel を制御できるだけでなく、Web から EXE ファイル (Windows プログラム) をダウンロードする、または Office ファイル内に保存されているデータをプログラムとしてディスクに保存し実行するなどの一般的な操作を実行できる強力なシステムです。

つまり、Office マクロの危険性は本格的な Windows 実行ファイルに相当することもあるため、このようなスプレッドシートに指示されたからといってセキュリティを弱めるのは危険です。

この Excel ファイルでのマクロ実行を許可してしまうと、VBA が埋め込まれている Goldeneye ランサムウェアをディスクに書き込んで起動します。

すぐには変化に気付かないかもしれませんが、ハードディスク上のファイルの暗号化が始まり、YOUR_FILES_ARE_ENCRYPTED.TXT という名前のファイルが作成されていきます。

ファイルを暗号化するランサムウェアの多くはここで操作を止めますが、Goldeneye は続いて Petya ランサムウェアの修正版を実行して、ハードディスクのマスターファイルテーブル (MFT) も暗号化します。

MFT は、どのセクターがどのファイルに属するのかを記録しておくもので、ハードディスクにとって不可欠です (下図参照)。

MFT のないディスクは、すべての所蔵書のページが抜き取られ、シャッフルされた図書館のようなものです。生データはそこにあっても、すべてを元通りにすることはほぼ不可能です。

Petya と同様、Goldeneye は再起動し、ディスクチェックを実行しているように装います (下図参照)。

「チェック」が終了すると、再び再起動され、警告音とともに次のような ASCII アートが表示されます。


ドクロマークが黄色と黒に点滅します。ユーザーがキーを押すと、前述の YOUR_FILES_ARE_ENCRYPTED.TXT とほぼ同一のテキストが表示されます (下図参照)。

Goldeneye は毎回異なるアルゴリズムと鍵を使用するため、ファイルと MFT を暗号化する方法が異なります。

仮に、身代金を払って鍵を受け取り、暗号化された MFT を復元して Windows を再起動できたとします。

すると、表示されるのは YOUR_FILES_ARE_ENCRYPTED.TXT の支払ページです。

バックアップを作成していなければ、もう一度身代金を支払うことになります。

注: ソフォス製品では Goldeneye マルウェアを次のようにブロックします。Troj/DocDrop-PX-QA、および -QC (細工された XLS ファイル)。Troj/Petya-AD-AF、および -AG (ダウンロード済みの Goldeneye 実行ファイル)。

対策

ソフォスが調査したところ、攻撃者が支払ページで要求している身代金は約 1.4 ビットコイン (1,000 ドル) でした。つまり、身代金を 2 度支払う Goldeneye の場合、(攻撃者が本物の暗号鍵を渡してくれたとしても) 2,000 ドルもの金額を支払うことになります (下図参照)。


いつも申し上げているように、そもそもマルウェアに感染しないことが大切です。ソフォスが発表した『How to stay protected against ransomware (ランサムウェアから身を守るには)』というガイドに役立つ情報が掲載されています。ぜひお読みください。


Techknow ポッドキャスト Dealing with Ransomware (英語) も併せてご紹介しておきます。

今すぐ視聴する

(オーディオプレーヤーが動作しない場合は、Soundcloud でお聞きいただくか、iTunes からアクセスしてください。)