トロイの木馬Cryzip、暗号化したファイルの「身代金」を要求--セキュリティ企業が報告

文:Dawn Kawamoto(CNET News.com)
翻訳校正:河部恭紀(編集部)
2006年03月16日 17時25分
  • このエントリーをはてなブックマークに追加

 セキュリティ企業Lurhq Threat Intelligence Groupの報告によると、被害者のコンピュータにあるファイルを暗号化し、300ドルの支払と引き替えに暗号を解除する、金銭目当てのトロイの木馬が出現しているという。

 これは「ランサムウェア(身代金目当てのソフトウェア)」と呼ばれるトロイの木馬で、「Cryzip」という名前が付けられている。Cryzipは、過去10カ月に出現した同種のトロイの木馬としては「PGPcoder」に続いて2例目になり、1989年に最初のランサムウェアが確認されてからは3例目になる。

 Lurhqの研究者らは米国時間3月14日、ファイルを暗号化するトロイの木馬が1年間に2種類出現したことから、悪意のあるソフトウェアのトレンドになりつつあることが考えられると述べた。

 Lurhqの上級セキュリティ研究者であるJoe Stewart氏は、「PGPcoderが2005年に登場したが、金もうけのための良い手段となれば、それに飛びつく人は多い」と語る。

 Cryzipは、まず、感染したコンピュータ上にあるソースコードやデータベースなどのファイルを探す。次に、市販のzipライブラリを使って、暗号化されたファイルとして保存する。Cryzipの配布経路はまだ特定されていない。セキュリティ研究者らによると、悪意のあるウェブサイトからの感染や、ウイルスに感染したコンピュータに作られていたバックドアからの侵入などが考えられているという。

 Cryzipは、テキストを書き換えた上でファイルを削除する。そして、元のファイル名の後ろに「_CRYPT_.ZIP」を加えた名前の暗号化済みファイルを残す。

 Stewart氏は、「単純な暗号化スキームを使ったPGPcoderと違って、zip暗号化はより強力だ。可能性のある(暗号)鍵をいくつも試すことで情報を復元するのが難しくなっている。だが、ユーザーがオリジナルファイルのコピーを持っている場合には、ブルートフォース攻撃も可能だ。Cryzipのコピーを使ってリバースエンジニアリングができる」と述べる。

 Cryzipの被害はまだそれほど広まってはいない。Lurhqは、今のところ感染が確認されたのは20数件だけだと述べている。しかし、悪意のあるソフトウェアの作者らは、これまでになく低レベルの攻撃を仕掛ける傾向にある。これには、セキュリティ企業が攻撃の存在に気付いて防御策を開発するまでの時間を長くする意図がある。

 一方、ユーザーも、どのような経緯で攻撃を受けたかを知られたくないために、助けを求めたがらない場合が多い。

 Cryzipの作家は、身代金の回収にE-Goldのアカウントを使っており、被害者に対して、「われわれのソフトウェアがあなたのコンピュータにあるのは、あなたが不法なポルノサイトを訪問したからだ。あなたのコンピュータにあるすべての文書、テキストファイル、データベースは、パスワード付きのファイルとしてアーカイブされている。パスワードを見破ることは不可能だ。パスワードは、10文字以上あり、パスワード解析プログラムでもブルートフォースできない」と通告する。

 そして、Cryzipの作家は、自分のE-Goldに300ドルを支払うよう要求する。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加