• HOME
    • セキュリティブログ

患者情報や独自の医療研究の保護という点で、医療業界は絶えずサイバーセキュリティに関する大きな課題に直面しています。電子カルテ(EHR)やオンラインの患者ポータル、接続機器、ウェアラブルといった新しい医療技術の導入により、患者に提供される治療や利便性は向上しているものの、それと同時に医療機関が攻撃を受けるリスクも高まっています。

サイバー犯罪技術の進歩に悩まされるあらゆる業界の中でも、医療機関は常に高い危険にさらされています。それは、攻撃者にとって極めて価値の高い個人情報や財務データが医療機関で保管されているだけでなく、医療のネットワークシステムが中断に対して非常に敏感だからです。

危険の潜在する対象が生命であるため、医療機関は他の業界よりも、乗っ取られたネットワークリソースの復号化や開放に賠償金を支払うことをいとわないでしょう。しかし、サイバーセキュリティを含めた技術の導入という点について、医療業界は遅れをとっています。医療機関を標的にするサイバー攻撃が2016年に63%増加したのは驚くにあたりません。


IoMTに潜む危険

医療技術で最も広く導入されているものの1つにIoMT(Internet of Medical Things)がありますが、これはいくつかの理由でサーバー脅威の主な標的の1つにもなっています。1つ目の理由は、現在市場で提供されている莫大な量のIoT機器と同じく、IoMT機器は多くの場合セキュリティを第一に考えて製造されていないことです。こうした機器を設置して利用する医療機関とは異なり、機器のメーカーは通常、患者の保護対象医療情報(PHI)を守るための機能を義務付けるHIPAAの規則に拘束されることがありません。そのためIoMT機器は、サイバー犯罪者が医療ネットワークに侵入するための絶好の入口になるのです。

IoMTの出現はセキュリティ管理者を窮地に追い込んでいます。こうした機器は人間の命に関わるため、ネットワークフローが中断されてはならないという圧力がかかっています。適切なセキュリティソリューションが整備されていなければ、医療組織全体が危険にさらされることになります。そのため、惨事が発生する前にあらゆる方向からリスクに対処しておかなければなりません。

2つ目の理由は、新しい脆弱性が発見された際に、セキュリティ関連の更新やパッチの配信と受信を行うためのシンプルなメカニズムを、IoMT機器が持っていないことです。そして3つ目は、これらの機器や患者が双方向で利用するウェブアプリケーションが、多くの場合に病院のネットワークに保存されている個人情報や機密情報にアクセスするようにプログラミングされていることです。つまり、保護されていないエンドポイントやアプリケーションは、広範なネットワークに侵入するための簡単な入口になってしまいます。そのため、IT管理者は新しいネットワークセキュリティのプロトコルを開発し、内部ネットワークに接続される保護されていないエンドポイントや、多くの場合に機動性の高いエンドポイントが増加している現状に対処する必要があります。

米国の病院でベッド1台あたりに平均で10~15の接続機器が使用されていることを踏まえると、IoMTのセキュリティが不適切な場合は、潜在するアタックサーフェスが拡大し、医療機関と患者の両方に莫大な危険がもたらされることになります。


AIと自動化: 新たな脅威

サイバー攻撃については、その件数が増加しているだけでなく、巧妙さも進化しています。たとえば、ある新しい攻撃システムでは、情報と脆弱性をマイニングする自動化フロントエンドと、ビッグデータをふるいにかける人工知能(AI)による分析を組み合わせたツールが使用されています。また、サイバー犯罪行為や侵入ツールを検出しづらくするため、サイバー犯罪者の元でのテストした結果に基づいて、オンザフライでコードを変更するために機械学習が利用される可能性もあります。

Solutionaryが2016年7月に実施した調査では、マルウェアの第一の標的が医療業界であることが明らかになりましたが、第2四半期に検出されたマルウェアのうちの実に88%を医療機関が占めています。ただし、これは序の口にすぎず、完全に自動作成されるカスタムのマルウェアがまもなく現れると予測されています。こうしたマルウェアは、脆弱性の自動検出や複雑なデータ分析、発見された弱点の固有の特性からはじき出される絶好の突破口の自動開発に基づいて作成されます。

たとえば、最近発見された「Reaper」ボットネットマルウェアでは9つの異なるパッケージが使用され、7社のメーカーが製造したIoT機器の脆弱性が標的になりました。このマルウェアは規模の大きなアタックサーフェスを最大限に活用していますが、こうした進化するIoTのボットネットではIoMT機器を攻撃することが想定されています。


セキュリティにおける自動化の役割

サイバー犯罪に導入されているイノベーションにより、医療組織が整備している技術を転覆させることができるようになるでしょう。この事態を切り抜けるには、医療機関のITチームが統合された高度なセキュリティシステムを開発してデプロイすることが不可欠です。

幸いにも、自動化はサイバー犯罪者だけでなく、医療業界にも同等のメリットをもたらします。進展するセキュリティの自動化を活用すれば、医療業界を標的の中心として狙うマルウェアの猛攻撃の拡大に対処できるようになります。

たとえば、自動化を使ってトラフィックフローを動的に分割することが可能ですが、これは弾力性のある環境にも対応します。こうした内部セグメンテーションの技術を利用すると、特定のセキュリティプロトコルに基づいて識別した機密データを、ネットワーク内のファイアウォールの裏に自動的に隔離することができます。そのため、侵害された機器が横方向に広がることはなく、ひいては医療ネットワーク全体が感染されることも防止できます。

自動化を活用すれば、機器の管理やパッチの適用、セキュリティやネットワーク機器の構成といった日常業務や基本的なセキュリティ機能を強化したり、変更したりすることもできます。また、特定された脆弱性にパッチが適用されるまで機器を保護するためのセキュリティプロトコルや侵入防止システム(IPS)ポリシーを更新したり、新たに検出された脅威や侵入にリアルタイムで対処するためのポリシーやプロトコルを修正したりすることもできます。


セキュリティにおけるAIの役割

見えないものを保護することはできません。つまり、サイバーセキュリティの鍵を握るのは可視性です。ネットワーク内で発生していることをきめ細かく把握できれば、異常な挙動をすばやく特定し、ネットワークに広がらないように隔離することが可能になります。

ここで課題になるのは、AIを活用して可視性の向上と連携の強化という2つの重要な点に対応することです。

センサーのネットワーク全体から、関連するすべての脅威インテリジェンスを入手して相関させることで、ネットワーク運用の透明性が向上します。次のステップは、このインテリジェンスを個々のネットワークで監視されている指標と組み合わせ、比較のためのベンチマークを作成することです。また、可視性を向上させるには、ベンダーや同業他機関と連携して地域や世界の指標を統合し、業界固有の知識ベースをAIに基づく分析の出発点として構築することもできるでしょう。

ネットワークセキュリティについては、「攻撃する者は一度だけ成功すればよい。攻撃される側は常に成功していなければならない」という言い習わしがあります。サイバー犯罪者に先を越されないための唯一の方法は、いつ、どのように攻撃されても迅速に対処できるようにしておくことです。ビッグデータ分析を使ったファイルの調査と分析に、脅威を低減させるためのAIと適応学習を組み合わせれば、脅威とその挙動を検出して予測することができるようになります。


AIと自動化: 強力な組み合わせ

新たに拡大したアタックサーフェス全体で攻撃をさらに拡張できるよう、攻撃者は攻撃のツールキットに自動化と機械学習をますます速いペースで採り入れるようになっています。そのため、標的にされるシステムを統合し、よりインテリジェントにする必要があります。絶えず進化しているランサムウェアやマルウェアの攻撃はすぐそこに迫って来ていますが、意図に基づくセキュリティを促進すれば、そういった攻撃に対抗する重要なツールとして、自動化と統合の力を活用できるようになります。

セキュリティはデジタルスピードで運用できなくてはなりません。つまり、セキュリティレスポンスを自動化し、自己学習技術とともにインテリジェンスを包括的に適用することで、ネットワークによって効率的かつ自律的な意思決定ができるようにすることです。現在開発されている、ますますインテリジェントで自律的かつ高度な攻撃に対抗するためには、有機的に構築された「偶発的」なネットワークのアーキテクチャを意図的な設計に置き換える必要があるでしょう。こうした設計では、実用的なインテリジェンスを作成する専門的なシステムに、自動化とAIを統合しなければなりません。こうすることで、医療機関は深刻で執拗な攻撃を検出して阻止できるようになります。


この記事は、Healthcare Business Todayに掲載されたものです。



1. JavaScriptコード

2017年12月6日、FortiGuard Labsは、ある侵害されたウェブサイト(acenespargc[.]com)を発見しました。ソースコードを調べてみると、暗号化された不審なスクリプトが見つかりましたが、そこではeval()関数を使ってすべての文字列が数字に変換されていました。そこで、CharCode Translatorというツールを使って数字を文字列に戻したところ、詐欺のページやフィッシングサイトにリダイレクトするリンクを特定することができました。

スクリーンショット1
スクリーンショット2

上記のスクリーンショットは簡単な例にすぎません。実際のところ、攻撃者はフィッシングコンテンツを地域ごとにカスタマイズすることができるほか、検出されるのを避けるために、ユーザー側でフィッシングページを訪問したことが検出されるとそのコンテンツが消失するようになっています。

攻撃者は、悪意のあるURLやフィッシングURL、広告URLを人間の目では気付けないようにするためにこの手法を使っています。

下記でご紹介するとおり、この手法は現在、侵害されたウェブサイトで仮想通貨をマイニングするJavaScriptを隠すために使われています。このウェブサイトを訪れたユーザーは全員が「感染」し、訪問時に使用されたコンピュータは攻撃者の思惑どおりに仮想通貨のマイニングを開始します。他人のリソースが許可なしに使用されるため、FortiGuard Labsはこれを悪意のあるアクティビティとして分類しました。


2. Packerツールを使ったCoinHiveスクリプトの隠蔽

12月28日、FortiGuard Labsはお客様からの問い合わせを通じ、もうひとつのウェブサイト(romance-fire[.]com)で上記のように高度な難読化技術が使われていることを特定しました。このウェブサイトには、仮想通貨のマイニングを実行するための悪意のあるコードが含まれていました。

エンコードされたスクリプトが見つかったため、それをPackerツールで解凍したところ、CoinHiveのスクリプトであることが判明しました。

ソースコードのJavaScript
JavaScriptの解凍 - その1

URL(hxxp://3117488091/lib/jquery-3.2.1.min.js?v=3.2.11)が正当なIPやドメインではないようでしたので調べてみました。KLOTH.NETで変換したところ、「3117488091」が185.209.23.219というIPアドレスであることがわかりました。この結果は下記のとおりです。

このサイトではURLがhxxp://185.209.23.219/lib/jquery-3.2.1.min.js?v=3.2.11に変換されました。このURLからJavaScriptの同じパターンを特定できたため、ここでもスクリプトを解凍してみました。

JavaScriptの解凍 - その2

最後の解凍が完了すると、ついにCoinHiveのURLを含むスクリプトが見つかりました。

JavaScriptの解凍 -その3

3. GitHubでのコインマイナー

私たちは2018年1月26日、訪問者が使用するコンピュータのCPUを乗っ取って、仮想通貨のマイニングを行う別のサイト(sorteosrd[.]com)を発見しました。このマイニングマルウェアでも、攻撃者はコンピュータの所有者の許可なく、仮想通貨をマイニングすることで利益を得ることができます。このサイトはウェブマスターによって使用、または侵害されたと考えられます。

ウェブサイト(hxxp://sorteosrd.com)のソースコード
ユーザーの端末に対する不正な仮想通貨マイニングの影響

上記のスクリーンショットからわかるように、コインマイナーはサイト訪問者のコンピュータの速度を大幅に減速させます。これはCPUがフルに使われるためです。


4. 侵害されたウェブサイト - 仮想通貨マイニングに感染したBlackBerryサイト

CoinHiveスクリプトによる侵害は、なんとblackberrymobile.comでも発見されています。


仮想通貨「Monero」のマイニングを目的としたアクティビティに、短時間侵害されたBlackberryのウェブサイト

5. 侵害されたウェブサイト - deepMiner によって感染したMilk New Zealand

さらに、ニュージーランド最大級の酪農場グループであるMilk New Zealandでも侵害が発見されました。同グループのウェブサイトで悪意のあるアクティビティを特定したフォーティネットのFortiGuard Labsがソースコードを調べたところ、Monero、Electroneum、SumokoinなどをマイニングするためにgithubでdeepMinerツールを使ったスクリプトが見つかりました。以下のスクリーンショットをご覧ください。

deepMinerを使用するJavaScript

上記のスクリーンショットに含まれるデータから、この種類のスクリプトではエンドユーザーに気付かれにくくするために、ドメインにDDNS (Dynamic Domain Name System) を使用することでCPU使用量の増加が50%に抑えられていることが判明しました。


6. 仮想通貨マイニングのスクリプトが埋め込まれたYouTubeの広告

仮想通貨マイニングマルウェアの問題は深刻化しています。CPUのサイクルを乗っ取って、仮想通貨のマイニングから利益を得ようとする攻撃者の数が増加の一途をたどる中、このマルウェアはますます多くの場所に現れるようになっています。1週間前にはYouTubeの広告にコインマイナーのスクリプトが埋め込まれ、数件の悪意ある広告が表示されました。幸いにも、この問題に気付いたYouTubeは2時間以内にその広告を削除しました。

YouTubeの広告に埋め込まれた悪意のあるマイニングスクリプト

コインマイナーによる乗っ取りを防止または回避するための方法は下記のとおりです。

  1. ブラウザのキャッシュを削除する。またはCCleanerソフトウェアをインストールし、不要なファイルや無効なWindowsレジストリのエントリを特定してコンピュータから削除する。
  2. ブラウザでJavaScriptを無効にする、またはスクリプトブロックツールや拡張機能を実行する。
  3. FortiClientなどのアンチウィルスソフトウェアをインストールする。
  4. AdBlockerや、Ghosteryなどの類似するツールをインストールして実行する。

FortiGuardでは、本ブログにリストアップしたすべてのURLを悪意のあるものとしてブラックリストに登録しています。


IOC:
侵害されたウェブサイト

  • acenespargc[.]com
  • www[.]romance-fire[.]com
  • milknewzealand[.]com

新たに特定された仮想通貨マイニングのURL:

  • hxxp://coinhive[.]com
  • hxxp://minerhills[.]com
  • hxxp://crypto-webminer[.]com
  • hxxp://sorteosrd[.]com
  • hxxp://greenindex[.]dynamic-dns[.]net
  • hxxps://github[.]com/deepwn/deepMiner

ここ数週間にわたって、ASUSは一連のパッチをリリースしましたが、その目的はファームウェアのASUSWRTに使用されるRTルーターで発見された多数の脆弱性に対処するためです。本記事の最後には、この影響を受けていることが確認されたモデルが記載されています。お使いのモデルやファームウェアがおわかりにならない場合は、ASUSのサポートサイトで最新情報を今一度確認されることをおすすめします。


FortiGuard Labs

ASUSによって確認されたリモートコード実行の脆弱性であるFG-VD-17-216は、そもそもFortiGuard Labsによって発見、報告されました。WAN接続経由でウェブ管理ポータルが使用可能ではあるものの、この機能をご利用になっていない場合は無効にすることをおすすめします(これはデフォルトのパラメータではありません)。すでにこの機能をご利用の場合は、安全なパスワードを設定し、ルーターの管理タスクにHTTPSのみを使用することをおすすめします。攻撃者がポータルにアクセス、またはユーザーを不正なリンクへと誘導できた場合は、ルーターで直接実行可能なオペレーティングシステムのコマンドを注入するHTTPリクエストが実行できるようになります。

技術的に見ると、脆弱なモデルでは/apply.cgiに渡されたサニタイズ処理が行われていないパラメータを介して、OSのコマンドが注入されやすくなります。この脆弱性は、ファームウェアの以前のバージョンに不注意で戻された回帰だと考えられます(FortiGuard Labsで使用していたテスト端末はRT-AC3200、ファームウェアは3.0.0.4.382_19466でした)。

特にMain_Analysis_Content.aspでは、クライアント側でJavaScript関数のupdateOptions()にSystemCmd変数が作成されると、入力フィールドのpingCNTとdestIPの値が使用されるようになります。これにより、ウェブプロキシを使用して、通常は実行されるローカルチェックを迂回できるようになり、/cmdRet_check.htmを使ってリクエストからの応答が非同期的に返されます。サーバー側ではそれ以上チェックが行われることなく、コマンドが実行されることになります。

HTTP注入攻撃が成功すれば、デバイスの管理者権限(ルートユーザー)を使ってコマンドが実行されることになるため、FortiGuard Labsはこの脆弱性を「高」と評価しました。ただし、攻撃者がこれを成功させるには、HTTPクッキーヘッダで渡される有効な認証トークンを入手する必要があります。

脆弱性が認められたモデル:

  • ASUS RT-AC66U、RT-AC68U、RT-AC86U、RT-AC88U、RT-AC1900、RT-AC2900、RT-AC3100の3.0.0.4.384_10007以前のバージョン
  • ASUS RT-N18Uの3.0.0.4.382.39935以前のバージョン
  • ASUS RT-AC87U、RT-AC3200の3.0.0.4.382.50010以前のバージョン
  • ASUS RT-AC5300の3.0.0.4.384.20287以前のバージョン

背景:

  • 2017年12月23日 - FortiGuard LabsがASUSのセキュリティチームにメールで連絡
  • 2017年12月25日 - ASUSのセキュリティチームから、調査が開始されたとの返信
  • 2017年12月27日 - ASUSのセキュリティチームがFortiGuard Labsチームにテスト用のパッチを提供
  • 2017年12月27日 - パッチによって脆弱性が修正されたことをFortiGuard Labsが確認
  • 2018年1月2日 - ASUSが広範にわたる新しいパッチのリリースを開始

この脆弱性が発見された際、フォーティネットは先回りしてお客様を保護するためにIPSシグネチャ「Asus.Apply.CGI.POST.Buffer.Overflow」をリリースしました。

報告された脆弱性の修正にすばやく対応していただいたASUSのセキュリティチームに感謝しています。

-= FortiGuard Lion Team =-


週に一度更新されるFortiGuard Threat Intelligence Briefにお申し込みになるか、フォーティネットの FortiGuard Threat Intelligence Serviceのオープンベータ版にご参加ください。


FortiGuard Labs

主要チップメーカー3社が1月初めに、何百万ものデバイスに搭載されているプロセッサーに影響する、MeltdownとSpectreと呼ばれる脆弱性(CVE-2017-5715、CVE-2017-5753、およびCVE-2017-5754)を発表しました。

FortiGuard Labsは約1年間にわたって、既知の脆弱性を悪用した新たな攻撃を計画する犯罪者の活動を追跡調査し、その詳細を2017年第2四半期版フォーティネット脅威レポート(閲覧にはフォーティネット俱楽部への会員登録が必要です)でご紹介しましたが、90%もの組織で発見から3年以上経過している脆弱性のエクスプロイトが見つかり、60%の企業で発見から10年以上も経過している脆弱性に関連する攻撃が発見されていることがわかりました。

サイバー犯罪者たちが既知の脆弱性を標的とする割合は確実に増加しており、WannaCryとNotPetyaの脆弱性によって、我々は、脆弱性の存在するシステムへの早期のパッチ適用の重要性を再認識することになりました。だからこそ、Intel、AMD、ARMという主要チップメーカーが1995年以降に開発したほぼすべてのプロセッサーに影響するとされる、過去最大規模の脆弱性が明らかになったことで、我々の懸念が再び高まることになったのです。

この状況を深刻に受け止めているのは、我々だけではありません。1月7日から1月22日の間にAV-TESTの研究チームによって、これらの脆弱性に関連する119の新たなサンプルが発見されたことで、サイバーセキュリティコミュニティ全体がこの件に大いに注目するようになりました。公開された全サンプル(これは、収集されたすべてのサンプルの約83%にあたります)をFortiGuard Labsが分析したところ、すべてが概念実証コードに基づくものであることがわかりました。残りの17%は、秘密保持契約または詳細は明らかにされていない何らかの理由によって一般公開されなかったものと考えられます。

AV-TESTのデータベースにおけるSpectre/Meltdown関連のサンプル数,ユニークサンプルの総数,1日あたりの新しいユニークサンプル数
MeltdownとSpectreを標的とするマルウェアの検知数の爆発的な増加を示すAV-TESTグラフ

MeltdownとSpectreという脆弱性の対策における最大の課題として、影響を受けるチップが一般家庭や稼働中の環境で動作している何百万ものデバイスに既に埋め込まれていること以外にも、この問題によって明らかになったサイドチャネルの問題を解決するパッチの開発が極めて複雑である点が挙げられます。それを示すかのように、Intelが先日の発表で最新パッチの適用を中止するよう呼びかけましたが、これは、パッチが適用された一部のデバイスが再起動することがわかったためです。

このような現状を考慮すると、パッチによって解決するという、積極的かつプロアクティブな手順の確立だけでなく、不正行動やマルウェアを検知して脆弱性が存在するシステムを保護するよう設計されたセキュリティレイヤーの導入が不可欠であるのは明らかです。


MeltdownとSpectreに対応するフォーティネットのアンチウイルスシグネチャ

FortiGuard Labsチームは、これらの脆弱性を標的とするあらゆる攻撃からお客様を保護するための取り組みを積極的に進めています。以下のアンチウイルスシグネチャをすでに公開しており、これらによって、これまでに発見されたすべてのMeltdownとSpectreのサンプルに対応します。フォーティネットは今後もこの状況を注意深く監視し、最新情報を継続して提供していく予定です。

Riskware/POC_Spectre
W64/Spectre.B!exploit
Riskware/SpectrePOC
Riskware/MeltdownPOC
W32/Meltdown.7345!tr
W32/Meltdown.3C56!tr
W32/Spectre.2157!tr
W32/Spectre.4337!tr
W32/Spectre.3D5A!tr
W32/Spectre.82CE!tr
W32/MeltdownPOC


Fortinet FortiGuard Labによる本件に関するその他の調査:


フォーティネットのFortiGuard Labsは、2014年に開発されたオープンソースの仮想通貨であるMonero(モネロ)のみを身代金として受け付けるランサムウェアを確認しました。ランサムウェアの世界では、Bitcoin(ビットコイン)が標準として広く使われてきましたが、他の仮想通貨へと移行する動きもあるようです。ランサムウェアの作者たちは、最新動向や社会情勢に常に注目しており、仮想通貨の高騰に乗じて一儲けすることを狙っているようです。

この最新のランサムウェアは、Moneroによる身代金支払いを要求するだけでなく、仮想通貨に関連するパスワードストアであるかのように装います。このマルウェアは、「spritecoin」ウォレットであると偽って、希望するパスワードを作成するようユーザーに要求しますが、実際にはブロックチェーンをダウンロードすることなく、攻撃対象ユーザーのデータファイルを密かに暗号化します。そして、そのデータを復号化する代償として、Moneroで身代金を支払うよう要求します。このファイル(spritecoind[.]exeとして活動中であることが確認されています)は、検知を逃れやすくする目的で、UPXで圧縮されています。「Your files are encrypted(ファイルが暗号化されました)」というおなじみとも言える身代金要求メモが表示され、0.3 Monero(この記事の執筆時現在で105米ドル相当)が要求されます。

我々の分析で、このサンプルにSQLiteエンジンが埋め込まれていることを示す指標が確認されましたが、これは、SQLiteを使って盗んだ認証情報を格納しているためと考えられます。このランサムウェアは、最初にChromeの認証情報を探し、何も見つからなかった場合はFirefoxの認証情報ストアにアクセスしようとしているようです。そして、暗号化するいくつかの特定のファイルを探し、それらのファイルをencryptedというファイル拡張子を使って暗号化します(例:resume.doc.encrypted)。

また、さらに悪質なことに、復号化の過程で、証明書の不正取得、画像解析、Webカメラ起動などの機能を持つ別のマルウェアが展開されます。

キルチェーン分析

SpriteCoinランサムウェアの脅威のキルチェーン簡易分析を以下にご紹介します。

拡散方法:この攻撃は仮想通貨に関心のあるユーザーが集まるフォーラムのスパムを使って拡散するとの未確認報告があり、我々もこれが実際の拡散方法であると考えています。Spritecoinを詳しく調査したところ、ホームページと思われるpagebin[.]com/xxqZ8VESが見つかりました。

SpriteCoin: SpriteCoin is a new cryptocurrency written entirely in JavaScript (with C for the mining module). It uses the CryptoNight algorithm but is not cryptonote-based. With a max supply of 1 trillion coins and a block time of 45 seconds, this is sure to be a profitable coin for you (I hope). Download for Windows (scan it with VirusTotal if you don't trust it)

SpriteCoin
SpriteCoinは、JavaScriptのみで(マイニングモジュールにはCを使用して)記述された新しい仮想通貨です。CryptoNightアルゴリズムを使用していますが、CryptoNoteベースのものではありません。総発行枚数1兆コイン、ブロック時間が45秒の、収益性の高いコインです。
Windows版のダウンロード(心配な方は、VirusTotalでスキャンしてください)

ランサムウェアは通常、ソーシャルエンジニアリングを使って拡散しますが、エクスプロイトによるユーザーの介入を必要としない方法もあります。一般的なのは、電子メール、エクスプロイトキット、Excel / Word / PDFの不正マクロ、またはJavaScriptダウンローダーですが、これ以外の方法が使われることもあります。攻撃者は、ソーシャルエンジニアリングを使用し、巧妙に作成した電子メールでユーザーを誘導して、これらの実行可能ファイルを実行させます。多くの場合、これらのファイルには、疑問を持つことなくファイルを開いてしまいそうな、もっともらしいファイル名が付けられています。ユーザーのマシンをランサムウェアに感染させるには、一般的に、そのユーザーとのやり取りが必要になります。

今回の例では、SpriteCoin仮想通貨のウォレットに見せかけた「SpriteCoin」パッケージ(spritecoind[.]exe)として、ユーザーに送り付けられます。Googleを使った簡易検索でSpriteCoinに関する文書が見つからないため、我々は、これが本物の仮想通貨でなく、この攻撃のためだけに作成されたものであると考えています。

エクスプロイト:エクスプロイトの多くは、ユーザーがソーシャルエンジニアリングに誘導されることで開始します。仮想通貨を使って短期間で利益を得られるという誘い文句は、用心深くないユーザーにウォレットアプリをダウンロードさせる手段として十分に効果があるようです。

インストール:このマルウェアが実行されると、「Enter your desired wallet password(希望するウォレットパスワードを入力してください)」というメッセージが表示されます。

希望するパスワードを入力してください:(パスワード不要の場合は何も入力しないでください [リスクあり])

上記の手順が完了すると、ブロックチェーンをダウンロードすると見せかけて、実際には、暗号化ルーチンが実行されます。

我々の分析では、ある特定のパッチが適用されていないと、このファイルが動作しないことがわかりました。我々のテスト環境はWindows XP SP3のマシンでしたが、msvcrt.dllの_snprintf_s関数がなかったために、このマルウェアが実行されなかったようです。しかしながら、_snprintfにパッチを適用したところ、実行が開始しました。

このマルウェアは、最初の実行時に自分自身を %APPDATA%\MoneroPayAgent.exeにコピーして、その新しいコピーを再び起動します。そして、レジストリキーも変更します。

"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MoneroPay
%APPDATA%\MoneroPayAgent.exe"

Windows XP SP3のマシンの場合、AppDataは「\Documents and Settings\user\Application Data\」に存在します。

コマンドアンドコントロール:Moneroの身代金を要求するこのランサムウェアは、従来の意味で言うコマンドアンドコントロールサーバーに接続するのではなく、Onionプロキシ経由でTORサイトに接続します(http://jmqapf3nflatei35[.]onion.link/*)。このプロキシによって、TOR接続を必要とすることなく、ユーザーと攻撃者のWebサイトとの通信が可能になります。これには、攻撃者にとって2つのメリットがあります。すなわち、1. TORドメインの背後に隠れることで攻撃者の匿名性が保証され、2. 攻撃対象である(TORが何かを知らなかったり、面倒なことを避けたいと考えたりする)ユーザーと攻撃者の間のフェールセーフとしての役割を果たし、攻撃の成功率を上げる効果があります。

目的の実行:このランサムウェアは、決まった拡張子(.txt、.py、.doc、.rtf、.cpp、.cc、.go、.tcl、.html、.ppt、.docx、.xls、.xlsx、.pptx、.key、.pem、.psd、.mkv、.mp4、.ogv、.zip、.jpg、.jpeg、.work、.pyw、.h、.hpp、.cgi、.pl、.rar、.lua、.img、.iso、.webm、.jar、.java、.class、.one、.htm、.js、.css、.vbs、.7z、.eps、.psf、.png、.apk、.ps1、.gz、.wallet.dat、.id_rsa)の特定のファイルの暗号化を開始し、暗号化したファイルの末尾に「.encrypted」を追加します。

さらに、ユーザーのChromeとFirefoxの認証情報ストアが不正取得され、POSTを使ってリモートWebサイトに送信されます(http://jmqapf3nflatei35[.]onion[.]link/*)。

ユーザーのファイルが暗号化されると(あるいは、ユーザーが暗号化されたファイルにアクセスしようとすると)、身代金要求メモが生成されてブラウザーのウインドウに表示され、身代金の金額が提示されます。

ユーザーが不幸にも要求に応じて復号鍵を手に入れることを決断してしまうと、W32/Generic!trとして検知される新しい不正実行可能ファイル[80685e4eb850f8c5387d1682b618927105673fe3a2692b5c1ca9c66fb62b386b]が送付されます。この不正ペイロードの詳細分析は完了していませんが、Webカメラを有効にし、証明書と鍵を解析する、ユーザーにとってさらに危険と思われる機能があることが確認されました。

本件については、MalwareHunterTeamSensorsTechForumによる調査もご参照ください。


FortiGuardによる対策

この新たなランサムウェアの対策として、以下のAVシグネチャが作成され、すでに利用されています。

  • W32/Ransom.F3F6!tr(ランサムウェア)
  • W32/Agent.DDFA!tr(Moneroの二次ペイロード)
  • W32/Generic!tr(バックドア)
  • W32/MoneroPay.F3F6!tr.ransom

また、すべてのネットワークIOCがWebフィルタリングデータベースのブラックリストに登録されました。

上記のマルウェアシグネチャに加えて、確実な方法でのバックアップとリカバリの計画を立て、全社的にランサムウェア攻撃に備えることを強く推奨します。シャドウボリュームのバックアップだけに頼るべきではなく、これは、一部のランサムウェア亜種によって削除されてしまうこともあるためです。マルウェアの作成者たちは、攻撃の成功率を高くしようと努力しています。システムを定期的にバックアップする人が少ないことを知っていますが、シャドウボリュームやそれに類似する方法でバックアップしているユーザーがいることを想定し、それを突破するためのロジックをマルウェアに組み込んでいます。シャドウボリュームのバックアップではなく、重要なファイルをオフラインにバックアップすることが、結果的には、時間の節約と面倒な作業の大幅な軽減につながります。また、ベストプラクティスとして、ファイルバックアップの重要性を常に理解し、定期的にバックアップを実行する必要があります。そして、オフラインで別のデバイスにバックアップを保存し、冗長性を考慮して複数の場所にバックアップするようにします。

このマルウェアはユーザーとのやり取りがなければ動作しないため、セキュリティトレーニングの正式なプログラムを用意して、四半期に1回以上の頻度で関係者向けに実施することが重要です。トレーニングの計画にあたっては、ユーザーが興味を持つよう工夫し、セキュリティプログラムの重要な要素を組み込んで、ユーザーからの意見も取り入れながら、積極的な参加を促します。セキュリティに対する従業員の意識を向上させるには、ユーザー報酬プログラムが特に効果的です。ランサムウェアから身を守る方法の詳細については、ブログ記事「ランサムウェアから身を守るための10の措置」を参照してください。

そして忘れてならないのが、FortiGuardのシグネチャを常に最新の状態にしておくことです。


IOC

(FortiGuardサービスをご利用いただいていない場合に)この脅威の検知とブロックに使用できるIOC(Indicators of Compromise:侵害指標)の一部を、以下に記載します。これらのIOCの多くは、この脅威の発見にも利用できるものです。

ネットワークIOC:
hxxp://jmqapf3nflatei35[.]onion[.]link/log?id=%s - 最初のランサムウェアの接続(TORプロキシ)
hxxp://jmqapf3nflatei35[.]onion[.]link/paid?id=%s - 身代金支払いのURL
hxxp://jmqapf3nflatei35[.]onion[.]link/static/win - 二次コンポーネントのダウンロード
hxxp://jmqapf3nflatei35[.]onion - TORの正しいURL

システムIOC:
ababb37a65af7c8bde0167df101812ca96275c8bc367ee194c61ef3715228ddc - 初期サンプル
3e06ef992519c02f43b10cc9bfa671e5176e2cef5fab2f3d21b1e7fc17438e7d - 代替サンプル
80685e4eb850f8c5387d1682b618927105673fe3a2692b5c1ca9c66fb62b386b - 二次サンプル
%APPDATA%\MoneroPayAgent.exe - インストールパス
%TEMP%\19204ur2907ut982gi3hoje9sfa.exe - 二次サンプルのファイル名のインストールパス
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MoneroPay

%APPDATA%\MoneroPayAgent.exe - 存続のためのレジストリのエントリ
.encrypted - 暗号化されたオブジェクトファイルの末尾に追加される文字

フォーティネットの脅威レポートでは、脅威の最新動向と対策のための重要なヒントをご紹介しています。

毎週お届けするFortiGuardインテリジェンス概要、またはフォーティネットのFortiGuard脅威インテリジェンスサービスのオープンベータ版にご登録ください。