Locky – 猛威をふるう新たな Crypto ランサムウェア
2016年 2月 22日 JONAS SPIECKERMANN 著
Locky と呼ばれる新たなランサムウェアの亜種が先週、猛威をふるいました。
Locky は、感染したシステムのデータを AES 暗号化を使用して暗号化し、(多言語対応の)ブラックメールで、データを復号化するためにビットコインの支払に応じるよう要求します。さらに厄介なのが、このランサムウェアは、(マッピングされた共有ドライブだけでなく)ネットワーク共有も検索し、それらのリモート共有にあるデータも暗号化してしまう点です。クラウドストレージソリューションを利用していると、暗号化されたファイルの同期化によってバックアップも感染してしまう可能性があります。現段階で、Locky によって暗号化されたデータを復号化する方法は見つかっていません。
図 1: Locky の身代金要求の例
このランサムウェアを研究しているセキュリティ研究者である Kevin Beaumont 氏は、Locky がC&C(Command & Control)チャネルに使用しているいくつかのドメインの傍受に成功しました。同氏はこれにより、Locky の感染率を推測し、1 日あたりの感染者数は 100,000 以上に上ると推定しました。感染率は国によって異なり、ドイツが最多でピーク時の 1 時間あたりの新しい感染数は約 5,000 とされています。
Locky はほとんどの場合、悪意のあるマクロを使用した Office 文書を含む電子メールで送り込まれます。そして、ユーザーがその文書を開くと、ランサムウェアを使って感染させようとします。悪意のある JavaScript を含む .zip ファイルを送り込む亜種もあります。 電子メールの多くは、偽の納品書です。
先週の木曜日に、私自身の Spam 受信箱に、“Rechnung-263-0779.xls”という名前の添付ファイル(ドイツ語の「納品書」でした)の Locky の亜種を受け取りました。そこで、このファイルを使って、ウォッチガードの UTM(統合脅威管理)アプライアンスで可能な、このまったく新しいランサムウェアからのあらゆる保護方法を分析してみることにしました。
まず初めに、感染したファイルを www.virustotal.com にアップロードして、どのアンチウィルス(AV)ベンダーのシグニチャが有効であるか確認してみました。電子メールはすでに 24 時間以上も私の受信箱に入っていたため、55 ののうちの 26 の AV スキャナが感染を検出できました。ウォッチガードが GAV(ゲートウェイアンチウィルス)に使用している AV エンジンである AVG ももちろん、これに含まれていました。そして特筆すべきは、ウォッチガードの GAV サービスは、ユーザーが受け取る前にこの亜種をブロックすることができた点にあります。
図 2: Locky 亜種のVirusTotal の結果
最近は、マルウェアが短期間で変化し、進化を遂げていることから、シグニチャベースの AV では最新の脅威に対応できなくなってきています。ウォッチガードはこの問題を解決するために、保護に別のレイヤを設けることで、まったく新しい、これまでに見つかったことのないマルウェアファイルの検出を可能にしています。ウォッチガードではこのソリューションを、APT Blocker と呼んでいます。このランサムウェアを、ウォッチガードの次世代サンドボックスでも実行し、APT Blocker でこのファイルの不正な挙動を検出できるかどうかを調べ、見事、検出に成功しました。この悪意のある「納品書」ファイルでは、高リスクを表す、99/100 のスコアが表示されました。ソリューションの付加価値を理解する上で、この点はとても重要です。Locky の送り込みに使われるファイルが変わったとしても、この挙動が変わることはありません。したがって、このソリューションであれば、シグニチャでは発見できない新たな動作を発見できます。
図 3: APT Blocker のサンドボックスが Locky を検出
もう 1 つの疑問が、ランサムウェアがすでに活動していたり、別のソース(USB ドライブなど)からシステムに送り込まれたりしたらどうなるかという点でした。
Kevin Beaumont 氏は前述のように、Locky C&C 接続に使用している一部のドメインを特定することに成功しています。WatchGuard Fireware の URL カテゴリ化サービスである WebBlocker は、これらを「Security」または「Extended Protection」というサブカテゴリとして処理します。これらのカテゴリを WebBlocker でブロックするようにしていただければ、Locky の Call Home を回避し、感染したシステムの特定にも役立ちます。これを確認するために、Locky の既知の C&C ドメインをウォッチガードのオンラインツールに入力してみたところ、既知のボットネットワークチャネルとしてリストに表示されました。
図 4: ウォッチガードの WebBlocker が Locky のドメインを「悪意のある」ドメインと認識
ウォッチガードの UTM セキュリティサービスの多くで Locky を検出できることを確認できたので、最後のテストとして、私自身の Web メールから悪意のあるファイル「Rechnung-263-0779.xls」を個人的にダウンロードしてみました。
私の環境では、WatchGuard Firebox が HTTPS Deep Inspection で構成されています。この機能によって、ウォッチガードの GAV や IPS(不正侵入防止サービス)などのセキュリティサービスが、私がこのランサムウェアのダウンロードに使用した Web メールのような暗号化された Web トラフィックであってもセキュリティスキャンを実行できるようになります。Firebox は、暗号化された Web メール接続であっても、GAV サービスで Locky の納品書ファイルを検出し、ブロックすることができ、私のワークステーションにその納品書ファイルが届くことはありませんでした。
ウォッチガードの XTM アプライアンスと Firebox アプライアンスはこのように、Locky のようなランサムウェアからの保護に役立つ多くの機能を備えています。ただし、これらの保護を可能にするには、アプライアンスの機能をオンにして正しく構成しておく必要があります。Locky のネットワークへの侵入を防止したいとお考えであれば、ナレッジベースの記事、「How to prevent ransomware and other malicious malware with your Firebox(ランサムウェアや悪意のあるマルウェアを Firebox で防止する方法)」(Jonas Spieckermann 著)をぜひお読みください。