Macを狙うランサムウェア、正体が判明

Mac OS Xを狙う初のランサムウェア「KeRanger」は、Linuxに感染するマルウェア「Linux.Encoder」とほとんど同じコードが使われていたことが分かった。

[鈴木聖子，ITmedia]

　Mac OS Xを狙う初のランサムウェア「KeRanger」は、Linuxを標的とするマルウェア「Linux.Encoder」のMac版だったことが分かったと、セキュリティ企業のBitDefenderが3月8日のブログで伝えた。

　BitDefenderによると、Linux.Encoderは2016年に入り、Linuxサーバ数千台に感染を広げていた。BitDefenderが調べたところ、KeRangerにはLinux.Encoderのバージョン4とほとんど同じコードが使われていることが判明した。

　ただ、Linux.EncoderについてBitDefenderは1月の時点でプログラミング上の欠陥を発見し、これを突いて暗号解除鍵を入手することに成功したと報告。被害者のための暗号解除ツールをリリースしていた。

　Linux.Encoderのバージョン3ではこの「不具合」が修正されたものの、依然として鍵を入手できてしまう脆弱性は存在していたという。BitDefenderは現在出回っている全4種類の亜種について、暗号解除ツールを提供中だとしている。

Linux.Encoder（左）とKeRanger（右）、BitDefenderより

　KeRangerはオープンソースのBitTorrentクライアントアプリ「Transmission」のアップデートパッケージに仕込まれていた。BitDefenderの調査では、Appleが発行した正規の証明書を使ってMacのセキュリティ機能「Gatekeeper」をくぐり抜けていたことも分かった。問題の証明書はトルコの企業の名で登録されたもので、それまでのバージョンのTransmissionインストーラに使われていたものとは開発者IDが異なっているという。

　ランサムウェアは、当初WindowsとAndroidが標的とされ、2015年12月には初めてLinux版が出現した。KeRangerは、Linux.Encoderの開発者がMacにも手を広げたか、Mac攻撃を専門とするサイバー犯罪組織にコードをライセンスしたようだとBitDefenderは推測している。