ランサムウェア ProLock の進化に関する新たなレポート

ProLock の名で知られるランサムウェアの問題について SophosLabs がレポートを発表しました。このランサムウェアの興味深い点は、実装方法よりも、その進化にあります。

まずはランサムウェアが引き起こすジレンマから見てみましょう。

ランサムウェア攻撃者に身代金を払うべきでしょうか?

ご想像の通り、世界中の法執行機関や政府機関は一概にこう言います。「絶対に払わないようお願いいたします。定期的に支払いがあるという事実が、ランサムウェアのエコシステム全体を支えているのです」と。

マルウェアで利益を得る方法を誰も知らなかった 1990 年代にも、数多くの破壊的コンピューターウイルスが拡散され、多大なダメージを与えていました。

当時はなぜマルウェアを作り、手間をかけて拡散する人がいるのか理解できませんでした。なぜなら、逮捕された攻撃者のほとんどが実刑判決を受けていたからです。

もちろん、「ウイルス作成者は世界に対して何らかの恨みを持っていた」「社会的、政治的な意思を表明したかった」あるいは「単にそれを実行する技術があることをハッカー仲間に見せつけたかった」など、理由としては多くのことが考えられました。

オンラインで金銭を要求した上に、匿名性を保つ確固たる方法が無かったこともあり、当時は金銭が絡む攻撃はありませんでした。

しかし今や、マルウェア全般、特にランサムウェアが「世界への叛逆」精神によって拡散されることはほとんどありません。

目的は金銭

今では金銭的利益がすべてです。ランサムウェアの場合、その要求額は 1 つのネットワークあたり数百万ドルに上ることもあります。

したがって、現代の理論では、誰も支払いに応じなければ攻撃者がランサムウェアでネットワークを攻撃する動機は大幅に減るはずです。

なぜなら、ほとんどのランサムウェア攻撃には多大な時間と労力が必要だからです。ランサムウェア攻撃はもはやハッカー同士が情報交換をしつつ行う余暇の楽しみでなく、サイバー犯罪者たちがしのぎを削る戦場となりました。

ランサムウェア攻撃者は、時に数日から数週間をかけて次のような攻撃準備をします。

  • ハッキング、フィッシング、ネットワークへのアクセス権買収によって、攻撃の足がかりを得る。
  • ドメイン管理者の権限を入手し、IT 部門と同じ権限を得る。
  • ネットワークの詳細をマッピングし、どこをどのように攻撃するのか決定する。
  • リカバリに必要になるオンライン上のバックアップを発見し、消去する。
  • さまざまなランサムウェアのサンプルをテストして微調整を行い、最適なものを見つける。
  • ネットワーク全体に関わるセキュリティツールと設定を再構成し、攻撃可能なネットワークの範囲を広げる。
  • できるだけ多くのファイルを上書きするにはどのシステムサービスをシャットダウンすべきか、特定する。
  • 脅迫によって要求可能な金額を増やすため、ネットワークから企業の機密データを盗む。

ソフォスの脅威対応部門が扱った事例の中には、ランサムウェア攻撃者が、企業の IT 部門の電子メールを探り、その企業がどのようなサイバー保険に加入しているかを把握して、要求金額をいくらまで上げるか調整しているケースもありました。

これらの攻撃者はまた、IT 部門の重要人物の個人連絡先データもダウンロードした上で、IT マネージャーに (変声装置を使用して) 電話をかけ、個人情報を読み上げて、すでに企業のデータを盗み出したことを証明し、直接脅迫を行っていました。

別の事例では、犯罪者が企業全体の従業員にメールを送り、もし企業が支払いに応じない場合は個人情報を世界中に晒す、と脅迫していました。それと同時に、従業員自身が IT 部門に連絡して支払いに応じるよう説得させるという、組織内部に敵を作るタイプのランサムウェア攻撃を行っていました。

「絶対に支払ってはいけない」と叫ばれ続けた結果、攻撃者は手法を改善し、支払いには絶対に応じないと決意している企業であっても抵抗し難いような要求を突きつけてくるようになっています。

その結果、ソフォスは以下のように言わざるを得ません。「可能な限り支払いを行わないことを強く推奨しますが、身代金の支払いが合法で、かつやむを得ず支払わなければならなかった場合、それを批判することはできません。なぜなら、ランサムウェア犯罪者が突きつける銃口をあえて覗き込むような行為は、我々のビジネスの未来にとっても利益がないからです」

つまり、バックアップが適切に取られていなかった場合や、社内のコンピューターが 1 つ残らずフリーズして使用不能である場合や、支払いに応じなければ倒産することがほぼ確実である場合で、身代金を支払えば会社を救える可能性が高いのであれば、「たとえ全従業員が職を失うとしても支払うべきではない」と助言をするのは、もはや身勝手と言えるでしょう。

支払いが無駄であった場合

身代金を支払っても復旧できず、状況が悪化した場合には、どうすればよいのでしょうか。

今年、ProLock ランサムウェアの攻撃者によって引き起こされた問題がこれです。

ソフォスが把握している限りでは、これらの攻撃者は昨年 PwndLocker というランサムウェアに関与しており、(彼ら以外にとっては幸運なことに) PwndLocker ランサムウェアでは身代金を支払うことなく復号化が可能なケースがありました。

攻撃者の暗号化プロセスには欠陥があり、暗号化が終了した後でも被害者が復号鍵を復旧できる場合がありました。

しかし次に出現した ProLock ランサムウェアについては、FBI がかつてないほど切迫した以下のような警告を出しました。

(引用文日本語訳) 身代金の支払時に攻撃者から提供される復号鍵、または「デクリプター (復号化ツール)」は、正常に実行されない場合があります。ファイルが 64MB 以上の場合、デクリプターによってファイルが破損する可能性があり、100MB 以上の場合は、1KB あたり約 1 バイト、ファイルの整合性が失われる場合があります。正常に機能させるためにはデクリプターへの追加のコーディングが必要な場合があります。

通常とは異なる暗号化

興味深いことに、ProLock は攻撃対象となる全ファイルのすべてを暗号化するわけではありません。

SophosLabs が分析した ProLock のサンプルでは、すべてのファイルの先頭の 8KB (8192 バイト、または 16 進数で 0x2000 ) は暗号化されていませんでした。

その結果、8KB 以下のファイルは一切変更されず、8192 バイト以上の場合は、ファイルの先頭 8KB 以降が暗号化されます。

ファイルの先頭を残すこのような手法を使用するのは、ProLock が初めてではありません。ランサムウェア攻撃者がこれを行う理由として、以下の 3 つが考えられます。

  • ファイルの先頭のみを検査する暗号化検知ツールを回避するため。ほとんどのランサムウェアはファイル全体を暗号化するので、不正な変更を検知するにはファイルの先頭部分にのみアクセスすれば基本的に十分ですが、すべての場合に有効なわけではありません。
  • 一般的なファイルタイプ判別ツールを欺くため。ディレクトリを閲覧するツールの中には、「これは画像です」「これは PDF です」「これはアプリケーションです」と、推測されるファイルの種類をアイコンや文字列によって表示するものがあります。ファイルの種類の大半は先頭数バイトの情報があれば高い確度で識別可能で、多くのツールでは実行速度を上げるために先頭数 KB だけを読み込みます。
  • 安全だと勘違いさせるため。無傷のファイルもいくつか残っており、どのファイルも部分的に復元できるため、一見するとランサムウェア攻撃を回避できたようにも感じます。

ソフォスのホームディレクトリを調べた結果、全ファイルの約 3 分の 2 は 8KB 未満だったため、ProLock の攻撃はそれほど深刻ではないのかもしれない、と結論づけそうになりましたが、本当に重要なファイルはほぼすべて、残りの 3 分の 1 に含まれていました。その内容は、音声、ポッドキャスト、動画、ほとんどの画像、PDF、文書、データベース、プレゼン資料などです。

Naked Security ブログのアーカイブは「幸運にも」半数以上が残ることになりますが、それは単に原文が平文テキストファイルで保存され、半数以上が 8KB 以下であるためです。(もし DOC や DOCX ファイルで保存されていたら、すべて 8192 バイトを上回っていたでしょう。)

ProLock は他にも注目すべき手法を使用しています。たとえば、調査のために開いても何の変哲もない真っ黒な長方形にしか見えない BMP (ビットマップ画像) ファイルの中に、ランサムウェアの実行ファイルを隠すといった手法です。

しかし ProLock による実際の攻撃では、それ自体にはランサムウェアコードが書かれていない PowerShell スクリプトが、無害に見える BMP ファイルから EXE ファイルを取り出して実行しています。

ProLock にはさらに、メモリ内で検出するべき 150 個以上のソフトウェア製品のリストが組み込まれており、検出し次第それらを自動的に強制終了します。このリストには企業アプリケーション (通常、データベースなどのファイルをアクセス可能なままにしておき、ランサムウェアが書き込みアクセス権を獲得しないようにします)、セキュリティソフトウェア、バックアップツールなどが含まれています。

対策

ProLock の興味深い全容については、SophosLabs のレポートをお読みください。

以下について解説しています。

  1. ProLock ランサムウェアの挙動: 侵入方法、検知の回避方法、アクティベート方法。
  2. ソフォス製品が ProLock を検知しブロックする方法 (攻撃の段階ごとの対処法)。
  3. IoC (セキュリティ侵害の痕跡) の全リスト: ランサムウェアの挙動を把握し、自身のシステム上でマルウェアの痕跡を探す上で役立ちます。