セキュリティトピック

標的型ランサムウェアという
新しい傾向を示す Samsam

暗号化型ランサムウェアの新しい亜種である Samsam は、企業への攻撃手法が企業のファイルを
暗号化するマルウェアに移行していることを示唆していると考えられます。

ランサムウェアが関係するインシデントの増加

米国連邦捜査局（FBI）と US-CERT、Canadian Cyber Incident Response Centre（CCIRC）は、ランサムウェアが関係するインシデントの増加に関する警告を発表しました。

2016 年 2 月、 Locky ランサムウェアの増加が明らかになりました。広く出回っているランサムウェア亜種の 1 つです。過去数カ月にわたって、新しい亜種である Samsam（別名 Samas または Samsa）が、システムに感染するために標的型アプローチを使用していることがニュースになりました。

ランサムウェア

標的型ランサムウェア

ランサムウェアがシステムに感染するための従来の方法は、ドライブバイダウンロードや悪質なスパムメール経由で配布される悪質なダウンローダです。ユーザーが悪質なダウンローダに感染すると、それによりマルウェアがダウンロードされ、多くの場合はそれらに暗号化型ランサムウェアが含まれています。悪質な電子メールにはさまざまなファイルが添付されていて、これを開いた場合、多くのランサムウェアはいずれかの亜種をダウンロードして実行し、暗号化プロセスを開始します。ファイルが暗号化された後、ファイルを復号するには代金を支払うよう被害者に要求します。

Samsam は、従来のランサムウェアとは異なり、ドライブバイダウンロードや電子メール経由では配信されません。代わりに、Samsam の背後にいる攻撃者は、 Jexboss などのツールを使用して、Red Hat の JBoss エンタープライズ製品を実行しているパッチ未適用のサーバを特定します。

攻撃者は JBoss の脆弱性を悪用してこれらのサーバのいずれかへの侵入に成功すると、無料で手に入る他のツールやスクリプトを使用して、ネットワークに接続されているコンピュータから資格情報などの情報を収集します。次に、ランサムウェアを実行してこれらのシステム上のファイルを暗号化してから代金を要求します。

また、Samsam ランサムウェアは、攻撃者が RSA 鍵ペアを自身で生成するという点についても他のランサムウェアとは異なります。ほとんどの暗号化型ランサムウェアは、コマンドアンドコントロールサーバと通信します。このサーバが RSA 鍵ペアを生成し、感染したコンピュータでファイルを暗号化するための公開鍵を返送します。Samsam では、攻撃者が鍵ペアを生成し、公開鍵をランサムウェアとともに、標的となるコンピュータにアップロードします。

進化を続けるランサムウェア

Samsam は、数が増加しているランサムウェア亜種の 1 つですが、他のランサムウェアと異なるのは、パッチ未適用のサーバ側ソフトウェアを通じて目的の標的に到達する点です。ここで注目すべきは、犯罪者がランサムウェア攻撃において企業を直接標的とする傾向が増加していることです。このような最近の攻撃の成功は、サイバー犯罪が脆弱な企業に狙いを定めて最大限の利益を得ようとしているなかで、手口を切り替えていることを示唆しています。

ランサムウェアは効果的なビジネスモデルであることが実証済みです。したがって、使用されるテクニックが悪質なスパムやドライブバイダウンロードから標的型攻撃のような形へと移行したことは驚きではありません。

JBoss のバージョン

JBoss エンタープライズ製品を環境に導入している企業は、パッチ未適用のバージョンを実行しているかどうかを確認し、該当する場合は直ちにパッチを適用する必要があります。Red Hat によると、 JBoss の以下のバージョンおよびそれ以降のバージョンは影響を受けません。