「Doppelganging」と呼ばれる、アンチウイルスソリューションの検知を回避する高度なテクニックを利用した最初のランサムウェアが発見された。
米国時間5月8日、Kaspersky Labのセキュリティ専門家は、公開したセキュリティ情報の中で、この回避テクニックを使用するランサムウェア「SynAck」の亜種が出回っていることを明らかにした。
SynAckの存在は以前から知られていた。このランサムウェアが発見されたのは2017年で、一般的なランサムウェアとは異なる特徴をいくつか持っている。「感染し、ファイルを暗号化し、復号化の鍵を渡す見返りに金銭を要求する」という点ではほかのランサムウェアと同じだが、SynAckは支払用のポータルを使用しない。
その代わり、電子メールかBitMessage IDを介した身代金の支払い(通常はビットコイン)を要求する。身代金の要求額は、多いときには3000ドル(約33万円)にもなる。
このマルウェアはこれまで特別なものではなかったが、Doppelgangingのテクニックを利用する亜種が登場したことで、専門家が注目することになった。
「Process Doppelganging」は、2017年12月に開催された「Black Hat Europe」で、enSiloの研究者によって発表されたテクニックだ。
この攻撃手法はMicrosoftの「Windows」を標的とするもので、Windowsがファイルトランザクションを処理する方法を悪用することで、従来のセキュリティソフトウェアやアンチウイルスソリューションの検知を回避するよう設計されている。
Kaspersky Labsの研究者らによれば、SynAckはDoppelgangingを利用するだけでなく、実行時に仮想マシン、Officeソフトウェア、バックアップシステムなどを停止させようとするという。
「これは、実行中のプロセスによって使用されている貴重なファイルにアクセスできるようにすることが目的かもしれない」と研究者らは述べている。
さらにSynAckは、コンパイルの前に厳重に難読化された上に暗号化されており、リバースエンジニアリングに手間が掛かるようになっている。
新型SynAckによる攻撃は、これまでに米国、クウェート、ドイツ、イランで確認されている。
Kaspersky Labは、このランサムウェアは標的型であると考えており、感染したマシンが、ハードコーディングされた国と言語のリストに該当するかどうかをチェックする仕組みを持っているという。
被害を受けたマシンが対象リスト中の国以外に置かれているものだった場合、ファイルの暗号化は行われず、マルウェアはそのまま終了する。
Kaspersky LabのリードマルウェアアナリストAnton Ivanov氏は、「幸い、このランサムウェアの検出ロジックは、世の中に出回る前にすでに実装されていた」と述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」