日本を狙ったランサムウェアの巧妙な攻撃手法と対策を考える

日本語文書を駆使したメール攻撃とクライムウェア

今年上半期のマルウェア動向のもう1つの特徴が「日本語文書を駆使したメール攻撃とクライムウェア」となる。

クライムウェアの目的の多くは認証情報搾取で、代表的なものは「不正送金マルウェア」と呼ばれるタイプのもので、インターネット銀行のログイン情報を搾取するマルウェアがある。

2016年上期に検出されたマルウェアの上位10位に、情報搾取を目的としたマルウェアが3つランクインしているという。説明会では、「Bebloh」が日本を主に標的にしたマルウェアとして、詳しい解説が行われた。Beblohは、日本語の文章を駆使した複数のパターンのメールを送りつけるという。

石川氏は、クライムウェアが添付されたメールは配送業者を装ったメールが目立つとしたうえで、日本語による偽装メールの日本語の質が向上していることを指摘した。

Beblohは、日本人が使いそうな件名や日本人でも使いそうな短い文章で構成されたメールを悪用することが紹介された。「『ご確認』という、日本人が取引先や友人と使いそうな言葉を件名にすることで、メールを開く可能性を高めている。こうした内容に関する情報を攻撃者も集めており、狙いやすい件名と本文を使って新たな攻撃を仕掛けることになると見ている」と石川氏。

さらに、ある配送業者のメール配信サービスをコピーして悪用したメールも紹介され、今後こうしたケースが増えることが予想されるという。

今後、検討すべきセキュリティ対策は?

最後に、石川氏は今後、検討すべき対策について説明した。1つ目の対策は、ランサムウェアが攻撃に用いるファイルが添付されたメールへの対策だ。

例えば、社内ネットワークで対策を講じる場合、メールゲートウェイでファイル名に「.zip」に対して圧縮された「.js」と「.wsh」形式が含まれる添付ファイルを取り除くだけでも効果は期待できるという。

ただし、これは添付ファイルの中身を評価しての除去ではなく、拡張子を見て判定するだけにすぎないため、攻撃者側が拡張子を代えて来た場合は、ウイルス対策製品などによる中身の評価と検知および駆除が必要になる。

ゲートウェイ側もしくはエンドポイント側でスパム対策を行っている場合、Lockyなどを狙ったメールは英文が主体であるため、スパム対策で英文メールに対して除外するだけでも効果は期待できるという。

また、セキュリティベンダーによるJavaスクリプトへの対策が進んできた頃から、再びOfficeマクロによるダウンローダ「VBA/TrojanDownloader」を組み込んだばらまき型メール攻撃が見られるようになっていることから、取引先とのメールのやりとりではマクロ付のデータを極力扱わないといった運用による対処が紹介された。

2つ目の対策はランサムウェアを対象としたものだ。オフラインでも暗号化する特徴を持つLockyの亜種が確認されていることから、過去の攻撃手口として流行したUSBメモリなどから感染する方法も可能であることを容易に想像できるという。こうした状況も踏まえ、山本氏は、外部記録媒体からの発症もしくは侵入を防ぐ対策が必要と指摘した。

また、Androidを対象としたランサムウェアが進化しており、中でも人気のあるスマホアプリを装い、画面をロックするランサムウェアに注意する必要があるとした。こうしたことから、アプリをダウンロードをする前に、提供元メーカー名、送受信される情報など正規メーカーが提供されているものかどうかを確認することが重要となる。

そのほか、ランサムウェアは感染するとローカルPCで認識されるすべてのドライブとネットワーク先の共有データを暗号化してしまうことから、対策として、バックアップする場合、ランサムウェアがアクセスできない場所にデータを保管することを検討する必要があるという。

メールの場合、クライアント側の受信と同時にメールサーバから削除するという運用では、受信メールデータは感染したクライアント環境にしかないことになり、被害に遭った場合は大きな支障を来す。そこで、一定期間メールサーバからの削除を遅らせるだけでも、メールサーバに残ったデータから復旧できる可能性が高まる。

3つ目の対策としては、情報搾取を防ぐ方法が紹介された。手動でできる対策としては「日本語で書かれたメールを慎重に取り扱う」「送金を行う端末を限定する」「ローカルPCのデータも暗号化して、必要な時だけ復号して利用する」がある。

また、人の手では対応が困難な対策としては、「特定の場面でのキー入力暗号化による対策」「2段階認証の利用」が挙げられた。