ランサムウェア「CryptoWall」に新手の亜種、2段階攻撃で拡散

攻撃の手口が巧妙化していることから、相当数のPCやユーザーに感染が広がる恐れがあるとセキュリティ企業は警告している。

[鈴木聖子，ITmedia]

　Webサイトに不正なコードを仕込んでユーザーを不正なサイトに誘導し、パスワードを盗み出すマルウェアや身代金を要求するランサムウェアの新手の亜種を次々に仕込む攻撃が広がっているという。デンマークのセキュリティ企業Heimdal Securityが12月2日のブログで伝えた。攻撃の手口が巧妙化していることから、相当数のPCやユーザーに感染が広がる恐れがあると警告している。

　Heimdalによると、今回の攻撃では第1段階として、被害者のPCを「Pony」と呼ばれるマルウェアに感染させ、ユーザー名とパスワードを盗み出して攻撃者が制御するサーバに送信する。

「Angler」キットへの四半期ごとのアクセス数（Heimdal Securityより）

　第2段階では悪名高いエクスプロイトキットの「Angler」を使って、ランサムウェアの新手の亜種「CryptoWall 4.0」に感染させる。CryptoWallは感染先のPCのファイルを暗号化して身代金を要求するランサムウェアで、11月初旬に新手の亜種が出現していた。

　4.0ではウイルス対策ソフトやファイアウォールに検出されにくくする機能が大幅に強化されたほか、ファイルの内容だけでなくファイル名まで暗号化。被害者にデータをできるだけ早く取り戻したいと思わせ、身代金を払う気にさせる手口も巧妙化しているという。

CryptoWall 4.0の感染画面の一例（SANSより）

　11月下旬には米SANS Internet Storm Centerの研究者が、エクスプロイトキットの「Nuclear」にCryptoWall 4.0が仕込まれているのが見つかったと報告。続いてAngler経由でも出回った。

　エクスプロイトキットはさまざまなソフトウェアの脆弱性を組み合わせて悪用し、マルウェアに感染させることを狙った攻撃ツール。AnglerやNuclearはその代表格で、今回の攻撃ではCryptoWall 4.0に感染させる目的で使われているという。

　Heimdalによると、この攻撃はウクライナを拠点とし、デンマークでは100以上のWebページに不正なスクリプトが仕掛けられていた。被害は欧州にとどまらず、同社は12月2日までの24時間だけで、Angler経由でCryptoWall 4.0を拡散させていたドメイン200件以上をブロックしたとしている。

　「攻撃者は動きが早く、リソースも豊富で、世界のどこであろうと被害者のPCの脆弱性を悪用する」とHeimdalは警告している。