ウイルス検知を回避する手法「Dopperganging」を使うランサムウェアが登場

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部2018年05月09日 13時36分

 「Doppelganging」と呼ばれる、アンチウイルスソリューションの検知を回避する高度なテクニックを利用した最初のランサムウェアが発見された。

 米国時間5月8日、Kaspersky Labのセキュリティ専門家は、公開したセキュリティ情報の中で、この回避テクニックを使用するランサムウェア「SynAck」の亜種が出回っていることを明らかにした。

 SynAckの存在は以前から知られていた。このランサムウェアが発見されたのは2017年で、一般的なランサムウェアとは異なる特徴をいくつか持っている。「感染し、ファイルを暗号化し、復号化の鍵を渡す見返りに金銭を要求する」という点ではほかのランサムウェアと同じだが、SynAckは支払用のポータルを使用しない。

 その代わり、電子メールかBitMessage IDを介した身代金の支払い(通常はビットコイン)を要求する。身代金の要求額は、多いときには3000ドル(約33万円)にもなる。

 このマルウェアはこれまで特別なものではなかったが、Doppelgangingのテクニックを利用する亜種が登場したことで、専門家が注目することになった。

 「Process Doppelganging」は、2017年12月に開催された「Black Hat Europe」で、enSiloの研究者によって発表されたテクニックだ

 この攻撃手法はMicrosoftの「Windows」を標的とするもので、Windowsがファイルトランザクションを処理する方法を悪用することで、従来のセキュリティソフトウェアやアンチウイルスソリューションの検知を回避するよう設計されている。

 Kaspersky Labsの研究者らによれば、SynAckはDoppelgangingを利用するだけでなく、実行時に仮想マシン、Officeソフトウェア、バックアップシステムなどを停止させようとするという。

 「これは、実行中のプロセスによって使用されている貴重なファイルにアクセスできるようにすることが目的かもしれない」と研究者らは述べている。

 さらにSynAckは、コンパイルの前に厳重に難読化された上に暗号化されており、リバースエンジニアリングに手間が掛かるようになっている。

 新型SynAckによる攻撃は、これまでに米国、クウェート、ドイツ、イランで確認されている。

 Kaspersky Labは、このランサムウェアは標的型であると考えており、感染したマシンが、ハードコーディングされた国と言語のリストに該当するかどうかをチェックする仕組みを持っているという。

 被害を受けたマシンが対象リスト中の国以外に置かれているものだった場合、ファイルの暗号化は行われず、マルウェアはそのまま終了する。

 Kaspersky LabのリードマルウェアアナリストAnton Ivanov氏は、「幸い、このランサムウェアの検出ロジックは、世の中に出回る前にすでに実装されていた」と述べている

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]