セキュリティトピック

標的型ランサムウェアという
新しい傾向を示す Samsam

暗号化型ランサムウェアの新しい亜種である Samsam は、企業への攻撃手法が企業のファイルを
暗号化するマルウェアに移行していることを示唆していると考えられます。

ランサムウェアが関係するインシデントの増加

米国連邦捜査局(FBI)と US-CERT、Canadian Cyber Incident Response Centre(CCIRC)は、ランサムウェアが関係するインシデントの増加に関する 警告を発表 しました。

 

2016 年 2 月、 シマンテックは Locky ランサムウェアの増加を明らかにしました。広く出回っているランサムウェア亜種の 1 つです。過去数カ月にわたって、新しい亜種である Samsam(別名 Samas または Samsa)が、システムに感染するために標的型アプローチを使用していることがニュースになりました。

Web サイトセキュリティ

ランサムウェア

標的型ランサムウェア

ランサムウェアがシステムに感染するための従来の方法は、ドライブバイダウンロードや悪質なスパムメール経由で配布される悪質なダウンローダです。ユーザーが悪質なダウンローダに感染すると、それによりマルウェアがダウンロードされ、多くの場合はそれらに暗号化型ランサムウェアが含まれています。悪質な電子メールにはさまざまなファイルが添付されていて、これを開いた場合、多くのランサムウェアはいずれかの亜種をダウンロードして実行し、暗号化プロセスを開始します。ファイルが暗号化された後、ファイルを復号するには代金を支払うよう被害者に要求します。

Samsam は、従来のランサムウェアとは異なり、ドライブバイダウンロードや電子メール経由では配信されません。代わりに、Samsam の背後にいる攻撃者は、 Jexboss  などのツールを使用して、Red Hat の JBoss エンタープライズ製品を実行しているパッチ未適用のサーバを特定します。

攻撃者は JBoss の脆弱性を悪用してこれらのサーバのいずれかへの侵入に成功すると、無料で手に入る他のツールやスクリプトを使用して、ネットワークに接続されているコンピュータから資格情報などの情報を収集します。次に、ランサムウェアを実行してこれらのシステム上のファイルを暗号化してから代金を要求します。

また、Samsam ランサムウェアは、攻撃者が RSA 鍵ペアを自身で生成するという点についても他のランサムウェアとは異なります。ほとんどの暗号化型ランサムウェアは、コマンドアンドコントロールサーバと通信します。このサーバが RSA 鍵ペアを生成し、感染したコンピュータでファイルを暗号化するための公開鍵を返送します。Samsam では、攻撃者が鍵ペアを生成し、公開鍵をランサムウェアとともに、標的となるコンピュータにアップロードします。

進化を続けるランサムウェア

Samsam は、数が増加しているランサムウェア亜種の 1 つですが、他のランサムウェアと異なるのは、パッチ未適用のサーバ側ソフトウェアを通じて目的の標的に到達する点です。ここで注目すべきは、犯罪者がランサムウェア攻撃において企業を直接標的とする傾向が増加していることです。このような最近の攻撃の成功は、サイバー犯罪が脆弱な企業に狙いを定めて最大限の利益を得ようとしているなかで、手口を切り替えていることを示唆しています。

ランサムウェアは効果的なビジネスモデルであることが実証済みです。したがって、使用されるテクニックが悪質なスパムやドライブバイダウンロードから標的型攻撃のような形へと移行したことは驚きではありません。

JBoss のバージョン

JBoss エンタープライズ製品を環境に導入している企業は、パッチ未適用のバージョンを実行しているかどうかを確認し、該当する場合は直ちにパッチを適用する必要があります。Red Hat によると、 JBoss の以下のバージョンおよびそれ以降のバージョン は影響を受けません。

  • Red Hat JBoss Enterprise Application Platform(EAP)5.0.1
  • Red Hat JBoss Enterprise Application Platform(EAP)4.3 CP08
  • Red Hat JBoss Enterprise Application Platform(EAP)4.2 CP09
  • Red Hat JBoss SOA-Platform(SOA-P)5.0.1
  • Red Hat JBoss SOA-Platform(SOA-P)4.3 CP03

 

保護
シマンテック製品とノートン製品は、以下を検出することで、Samsam とそのさまざまなツールを防止します。

ウイルス対策:

 

ウェブサイトセキュリティを今すぐテスト

Symantec CryptoReport

SSL/TLS サーバ証明書のインストール状況をチェックしましょう。

今すぐテスト
脆弱性アセスメント

脆弱性アセスメント

脆弱性とは潜在的なセキュリティ上の欠陥であり、それを足掛かりに Web サイトの機能やデータが破壊、ダウンロード、操作される可能性があります。一般的な Web サイトには(単純なブログですら)、潜在的な脆弱性が数多く存在します。

続きを読む

ウイルス、ワーム、トロイの木馬の違い

ウイルス、ワーム、トロイの木馬の違い

コンピュータウイルスの話題で最も一般的な間違いとして、ワームやトロイの木馬をウイルスと呼んでしまうことがあります。

続きを読む

マルウェア、ウイルス、スパイウェア、クッキーとはどのようなものか?

マルウェア、ウイルス、スパイウェア、クッキーとはどのようなもので、どう違うのか?

インターネットから何かをダウンロードする前に、まず、それが何なのかしっかり確認しましょう。 

続きを読む

導入事例

シマンテック・ウェブサイトセキュリティソリューション使用の実例

コミュニティに参加

Symantec Connect(シマンテックブログ)でセキュリティに関する議論に参加

SYMANTEC CONNECT

脅威インテリジェンスについて Twitter @Threatintel をフォロー

SYMANTEC ON TWITTER

YouTube チャンネルでシマンテックウェブサイトセキュリティのビデオを見る

SYMANTEC ON YOUTUBE