トップ > Pくんが教えるWAF > 【Pくんが教えるWAF】 「ファイルリース・ランサムウェア」、その背後とランサムウェアからファイルを保護する方法とは?

【Pくんが教えるWAF】 「ファイルリース・ランサムウェア」、その背後とランサムウェアからファイルを保護する方法とは?

Pくんが教えるWAF ブロックチェーンセキュリティ

 

「ファイルリース・ランサムウェア」、

その背後とランサムウェアからファイルを保護するには?

 

 

最近、「Bad Rabbit」や「Oni(鬼)」、そして先週新しく発見された「GIBON」まで、日本内のランサムウェアによる被害は増える一方です。ランサムウェア拡散方式も進化している現在、どのようにランサムウェアを阻止できるのでしょうか?

 

1.「ファイルリース・ランサムウェア」の登場背景

 

このように「身代金 (ransom)」を受け取るため、暗号化されたファイルを「人質」にするのは、フロッピーディスクがあった時から存在しました。 これが時間の経過に伴って進化し、現在の様々なランサムウェアが登場したのです。

 

ランサムウェアは、大半「ロッカー・ランサムウェア」(locker ransomware)と「MBR(Master Boot Record)・ランサムウェア」のバリエーションが増えるのです。「ロッカー・ランサムウェア」はウイルスを通じて、ユーザーのカード情報、ビットコインイーサリアムのような仮想通貨を取るまでに、デスクトップとアプリケーションのアクセスを遮断します。

 

MBRランサムウェア」は、ユーザのパソコンへのアクセスを一切遮断させます。 MBR(Master Boot Record)は、パーティションで分割された、ディスクの最初のセクタにある、ブート・セクタの一種であって、OSを起動させるために必要なコードです。「MBRランサムウェア」は、コードを上書きする機能があって、感染されるとシステムごとを麻痺させます。

 

ランサムウェア拡散方式が未だに進化している今、最近のハッカーは、ファイルのないスクリプトを通じて、「インメモリマルウェア」感染を拡大させています。これが「ファイルリース・ランサムウェア」の特徴です。「ファイルリース・ランサムウェア」は、OS内部に存在するRAMや、カーネルに悪性コードを入力し、発見されないようにランサムウェアを拡散させています。

 

2.「ファイルリース・ランサムウェア」の詳細特徴と危険度

 

ランサムウェア拡散方式の一つで、ファイル内に実用ファイルと悪性コードを入れて、それをメールに添付して伝送する方法がありますが、最近、不審なファイルはダウンロードしない傾向が強くなって、ハッカーたちは新しい方法を研究しています。それでハッカーは、本文の内容を逆順で表せる特殊なユニコード文字を使用して、ファイル形式を操作できます。操作されたファイルは、ワクチンプログラムにより封じられる可能性もありますが、「ファイルリース・ランサムウェア」の悪性コードは探知できない可能性があって、その危険度が非常に高いです。

 

「ファイルリース・ランサムウェア」は、よく使用される「ワード」の中にある機能の一つである、「マクロ」で誕生しました。「マクロ」は、複数の命令語をまとめて、一つのキー入力動作で、文書作業を簡単に、そして迅速に進行させる便利な機能です。ですが、この機能を悪用すると、ウイルスを拡散させたり、ファイルを暗号化させることもできてしまうのです。

 

3.「ファイルリース・ランサムウェア」対策とは?

 

「マクロ」をコンピュータメモリ内で作動させることが、「ファイルリース・ランサムウェア」の作動原理です。「マクロ」機能が搭載された「ワード」を開くと、「マクロ」命令がパソコンの作業自動化とマイクロソフトに連動されている、構成管理「フレームワーク(Framework)」の中に「PowerShell」を開いて、この「PowerShell」の中に悪意のあるスクリプトを記入し始めます。この「PowerShell」の名前を取って、「ファイルリース・ランサムウェア」を「PowerWare」と呼ぶこともあります。

 

このランサムウェアは、コンピューター内にある「PowerShell」アプリケーション中に、スクリプトを実行させ、悪意のある命令語を隠した状態でファイルを暗号化させます。簡単に言うと、この方式でハッカーは、ユーザの許可がなくても、命令語をダウンさせ、最終的に実行させることができるようになります。この方式はハッカーの間で徐々に、最も効率的な・ランサムウェア拡散技法として注目されているそうです。

 

現在、「ファイルリース・ランサムウェア」に対応するため、社員たちに不審なメールのファイルを開かないように注意するのは、残念ですが効果がほぼないそうです。上手く偽装されたメールや、他の社会工学的手法は認知しにくいからです。 むしろ、「マクロ」機能を無効化し、「PowerShell」が遂行できる命令および機能を制限して、制限していない機能も、承認されてない状態では実行できないよう遮断するのが、現実的な対策だそうです。或いは、最新ランサムウェアの変形コードをいつも認知しているのも、良い対応方法でしょう。

 

セクタ:情報が記録されている各トラックを同じ長さに分割した時、その一部です。

 

ブート・セクタ:パソコンの起動と同時に、ディスクで一番先に読まれるレコードがあるセクタです。大半最初のトラックの最初のセクタにあります。

 

 

出典 

  https://japan.cnet.com/article/35109955/

  https://www.ipa.go.jp/security/ciadr/vul/20171026-ransomware.html

  https://japan.zdnet.com/article/35109710/

  

f:id:PentaSecurity:20170706113641p:plain

関連記事
  • 猛威をふるうランサムウェアの脅威と対策とは 猛威をふるうランサムウェアの脅威と対策とは はてなブックマーク - 猛威をふるうランサムウェアの脅威と対策とは
    ある日、突然自分のデータが人質に? 猛威をふるうランサムウェアの脅威と対策とは? ランサムウェアという言葉を聞いたことがあるでしょうか?ランサムウェアとはマルウェアの一種で、感染したPCをロックしたり、ファイルを暗号化したりすることで、コンピューターに保存されているデータを利用不可能にして「身代金」を…
  • 中小企業がよくするウェブセキュリティに対する誤解 中小企業がよくするウェブセキュリティに対する誤解 はてなブックマーク - 中小企業がよくするウェブセキュリティに対する誤解
    中小企業がよくするウェブセキュリティに対する誤解 ここ数年間、有名会社たちがハッキングされたことがニュースに連日報道され、企業の不安感が高まっています。さて、問題は、私たちがこのようなハッキングが大手企業などの規模が大きくて安定的な会社で起きた話だけを聴いているため、ハッカーが中小企業を狙うはずがな…
  • 【Pくんが教えるWAF】初心者向けのSECaaS(Security as a Service)ガイド 【Pくんが教えるWAF】初心者向けのSECaaS(Security as a Service)ガイド はてなブックマーク - 【Pくんが教えるWAF】初心者向けのSECaaS(Security as a Service)ガイド
    初心者向けのSECaaS(Security as a Service)ガイド 本格的なSECaaSガイドを始める前に、SECaaSが何かについての簡略な説明が必要な方は下記のリンクをクリックしてください。 www.pentasecurity.co.jp SECaaS、サービスとしてのセキュリティ(Security as a Service) 一般的に「Security as a Service」または「SECaaS」に…
  • 【Pくんが教えるWAF】2018年には注意すべき! 再登場するバンキング型トロイの木馬 【Pくんが教えるWAF】2018年には注意すべき! 再登場するバンキング型トロイの木馬 はてなブックマーク - 【Pくんが教えるWAF】2018年には注意すべき! 再登場するバンキング型トロイの木馬
    2018年には注意すべき! 再登場する バンキング型トロイの木馬 2017年は「Petya」「NotPetya」「WannaCry」などのランサムウェアが世間の注目を受けたことは事実です。しかし、「Eqifax」と「Uber」の情報流事件など、昨年の主要ヘッドラインを良くみると、ランサムウェア以外にも「バンキング型トロイの木馬(以下バンキン…

PentaSecurity


コメントを書く