「GOZ」および「CryptoLocker」は双方とも、トレンドマイクロが最近確認した最も悪名高い不正プログラム中の2つといえます。「CryptoLocker」は、感染したPCをロックするだけでなく、PCのハードドライブ内で確認された特定ファイルの暗号化まで行う「身代金要求型不正プログラム(ランサムウェア)」です。この暗号化により、被害に見舞われたユーザは、サイバー犯罪者だけが提供できる「鍵」でファイルを復号するしか方法がなく、被害者に「ランサム(身代金)」を支払わせる確実な手法だといえます。

「GOZ」および「CryptoLocker」に対応するトレンドマイクロの製品

プラットホーム ダウンロード先リンク
32-bit Threat Cleaner for 32-bit systems
64-bit Threat Cleaner for 64-bit systems

「GOZ」は、「P2PZeus」もしくは「GameOver」の名称でも知られている「ZBOT」の亜種であり、自身の環境設定ファイルをダウンロードする際にピアツーピア(P2P)通信を利用します。P2P通信が利用できない場合は、「Domain Generation Algorithm(DGA)」を利用して、C&Cサーバに接続先をランダムに生成し、その接続先から環境設定ファイルを入手します。

「GOZ」および「CryptoLocker」の影響と危険性

「CryptoLocker」が確認されてから、その感染数は飛躍的に増加しています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」で収集されたデータの30日分を確認した2013年10月の報告でも、ほぼ3分の2(64%)が米国における感染であり、さらに英国およびカナダでそれぞれ全体の11%および6%を占めています。

他のランサムウェアと同様、このマルウェアに感染するとPCを元の状態に回復させるために、ユーザは、オンライン決済での(身代金の)支払いを強要されます。しかし、支払いをしても、感染したPCを元の状態で利用できる保証はありません。さらに言えば、「CryptoLocker」の被害により、感染したPCを使用不可のまま放置せざるを得ない状態になってしまいます。ファイルが暗号化されてしまうと、ほとんど全てのセキュリティ製品は「CryptoLocker」の削除しかできず、暗号化されたファイルは、そのまま使用不可の状態で放置するしかないからです。この点からも、「CryptoLocker」の感染被害は、不正活動の実行前に阻止することが重要となります。

一方、「GOZ」は、オンライン銀行詐欺ツール「ZBOT」から派生とした形で2013年に登場。銀行や金融関連サイトで使用される認証情報を窃取し、特定のURLからダウンロードされる環境設定ファイルを利用します。通常の「ZBOT」と異なる点は、P2P通信を利用する機能を備えていることです。自身の環境設定ファイルのダウンロード先である特定URLが接続不可である場合、「GOZ」は、自身のDGAを利用して新たなドメインを生成し、そこから環境設定ファイルを入手します。こうして生成されたドメインは通常、1週間ほど保持されます。

感染活動

この感染は、不正なファイルが添付されたスパムメッセージから始まります。添付された不正ファイルは、トレンドマイクロでは「UPATRE」の亜種として検出対応しています。ユーザーがこの添付ファイルを実行すると、この「UPATRE」の亜種により、 拡張子「exe」のファイルががダウンロード・実行されます。ダウンロード・実行されるファイルは「ZBOT」または「GOZ」の亜種として検出対応しています。

オンライン銀行の認証情報窃取という不正活動の他、この検出された「ZBOT/GOZ」の亜種は、感染したPC上に「CryptoLocker」の亜種をダウンロードし、この亜種が最終的な不正活動を行ないます。トレンドマイクロではこの亜種を「TROJ_CRILOCK」のファミリのメンバーとして検出対応しています。

不正活動

「CryptoLocker」にPCが感染すると、暗号化に使用される「公開鍵」をダウンロードするため、ランダムに生成されたドメインに接続します。生成されるドメインの拡張子は、以下のとおりです。

  • biz/home
  • co.uk/home
  • com/home
  • info/home
  • net/home
  • org/home
  • ru/home

そして「CryptoLocker」は、暗号化の対象となる特定拡張子のファイルを検索します。この際、「.doc」や「.docx」、「xls」、「.pdf」、その他、ユーザが業務を行う上で重要な文書に使用されるファイルが対象となります(これらのファイルを対象にした暗号化の詳細に関しては後述します)。

さらに「CryptoLocker」は、感染したPCの壁紙を変更し、PC内の重要な文書が暗号化されたことをユーザに通知します。

こうして「CryptoLocker」は、暗号化されたファイルを「人質」にとり、これらのファイルを解読して再びユーザーへアクセス可能にするため300米ドル(2014年1月7日時点31,323円) もしくは300ユーロ(2014年1月7日時点42,668円)で解読のための「秘密鍵」を購入をするよう、「ランサム(身代金)」を請求します。

暗号化の手順

「CryptoLocker」は、「AES-265」および「RSA暗号」を利用して、ユーザーのファイルを暗号化します。トレンドラボの解析によると、暗号化は、以下の手順で実行されます。

「RSA公開鍵」は、それに対応する「RSA秘密鍵」のみで解読可能です。「AES鍵」は、この「RSA暗号」により隠ぺいされており、「RSA秘密鍵」の入手は不可能となっています。このため、「人質にとられたファイル」の解読は、現時点では完全に不可能となります。

ユーザへの影響

この脅威の被害を受けたユーザーは、「CryptoLocker」の暗号化のため、PC内のファイルを開くことができなくなります。感染したPC内に業務上重要な文書等が含まれている場合、業務に深刻な支障をきたすだけでなく、重要情報の損失という事態も招くことになります。

今回言及した「CryptoLocker」の亜種が不正プログラム「ZBOT」の亜種にもたらされるという事実は、この「ZBOT」の不正活動もユーザーへの被害となることを意味します。「ZBOT」の亜種は、オンライン銀行の認証情報などを窃取するため、窃取された情報が不正取引に悪用されることで、ユーザは、深刻な金銭的被害に見舞われる可能性もあります。

ユーザが注意すべきこと

Eメールの取り扱いに細心の注意を払うこと。受信するすべてのEメール、特に発信元が不明の場合は注意が必要です。こうした注意は、ユーザー側で受信したEメールについて調べたり、送信者とされる相手と直接やりとりして本人がどうか確認したりすることで可能です。

Eメールの本文中のリンクは安易にクリックしないこと。「メール内のリンクはクリックしない」と最初から決めておいた方がよいでしょう。どうしてもクリックする必要がある場合は、ご使用のブラウザがWebレピュテーションを使用しているか事前に確認しておくことです。さらなる予防措置としては、「Trend Micro Site Safety Center」のような無料サービスを利用してWebサイトの評価を確認しておくことも有効です。

文書をバックアップしておくこと。被害を最小限に抑えるためにも、ユーザー自身による文書のバックアップは不可欠です。この場合、いわゆる「3-2-1」というルールが参考になります。つまり、バックアップは最低3つのコピーを取っておき、その内の2は別々の媒体に保存しておき、さらに1つは物理的に別の場所に保存しておくことです。「SafeSync」のようなクラウドストレージサービスが役に立ちます。

定期的にソフトウェアをアップデートすること。ソフトウェアの脆弱性を突く「GOZ」や「CryptoLocker」、ランサムウェアは発見されていませんが、ご使用のソフトウェアはすべて最新のセキュリティーバッチで最新化しておくことです。一般的にソフトウェアの更新はオンライン上の脅威に対してのさらなる防御となります。

セキュリティソフトをインストールすること。信頼できるウイルス対策製品やソリューションを使用することで、多くの脅威に対してそれらが不正活動を開始する前に検出することができます。トレンドマイクロが提供する製品やソリューションは、スパムメールによるもたらされる不正プログラムに対しても、それらがユーザのメールボックスに届く前にブロックすることが可能です。

企業や組織の場合、Eメールの添付等に関する方針を見直し、不審な添付ファイルをしっかりと防御ための方針を実施する必要があります。また、社員に対しては、Eメールを介した実行ファイルの送信をしないように促すことも有効です。

企業や組織で実践可能はもう1つの対策としては、社員が使用しているPC(特に社内的に重要な業務で使用されるPC)に対して一定の制限を設けることです。これにより、社員側で不正なアプリケーション等が実行されるリスクを軽減させることができます。

暗号化されたファイルを開くために必要な「秘密鍵」は、サイバー犯罪者を介してのみ入手可能のため、ユーザーは、300米ドルもしくは300ユーロ相当の「秘密鍵」を支払うしかないと思いがちです。しかしそうした行為は、多くのサイバー犯罪者にこの不正活動を継続させるだけであり、彼らの活動拡大を助長しかねません。

トレンドマイクロ製品による対策

弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」により「脅威情報の収集」および「脅威の特定・分析」が行なわれており、今回の脅威に関連した不正プログラムがPC内に存在する場合、それらの検出・駆除に貢献します。中でも、「Webレピュテーション」技術は、今回の脅威に関連する不正なドメインを検知してそこへのアクセスをブロックします。これにより、「CryptoLocker」が不正サイトへアクセスできず、ファイルの暗号化に際して必要な「公開鍵」のダウンロードを阻止することができます。「Emailレピュテーション」技術は、今回の脅威に関連するスパムメールをブロックします。とりわけ、「Trend Micro Email Reputation Services Advanced」はリアルタイムブラックリストを保持し、スパムメールが企業に到達する前に、IP接続のレベルでメールをブロックします。これは、スパムメールがネットワークに侵入してから管理するアプリケーションベースのソリューションに比べて優れた点です。

さらに、トレンドマイクロの製品に搭載された「挙動監視機能」は、「CryptoLocker」や「GOZ」の感染状況を監視します。この機能の設定等の詳細については、弊社のサポートページをご確認ください。

関連マルウェア