ランサムウェア テクニカルレポート

データはどこにでも存在し、そして価値のあるものだ。
そんなことは、サイバー犯罪者も、議員も、大企業もみんなわかっています。増大する脅威により企業や個人のデータが危険な状況に晒される中で、そのデータ を狙っている脅威について、常に最新の情報を把握することが非常に大切です。



Lockyランサムウェアは終わりを迎えたのか?
Bleeping Computer(英語サイト)によると、Lockyランサムウェアの感染数は大幅に減少し、今月は過去最低を更新しそうだということです。

まさに驚きの展開です。
最初にランサムウェアが発覚した2016年2月以降、Lockyは最も流行したランサムウェアファミリーへと成長を遂げました。そこから、大きな被害をもたらす多数の亜種が作られたため、安全かつ確実にデータを保護するの必要性が高まりました。

専門家はこの感染数の急落を、Necurs ボットネットが消え去ったことによるものとみています。Lockyが最も蔓延していた頃、その拡大にはNecurs利用していましたが、Necurs自体は、もともとはDridexという銀行取引向けのトロイの木馬から乗り換えてきたものです。しかし、今回再びNecursが退いたものとみられます。

今年の初めより、Lockyの感染数は急落しましたが、どうやらその原因はNecursの戦術の変化にあるようです。今はLockyに代わってCerberやSporaというランサムウェアファミリーが隆盛しています。

急落のもう1つの原因は、新しいアップデートがないことです。昨年以降に登場した新しい亜種はありません。(以前は新しい亜種が定期的に出現していたのですが)
しかし、だからといってLockyが完全に消え去ったわけではありません。低レベルのスパムキャンペーンでたびたび検出されます。

スタートレックをテーマとするランサムウェアが新しい流行に
新しいランサムウェアの亜種が、人気のテレビ番組シリーズの名を盗んで活動しています。

この亜種はKirkランサムウェアと呼ばれ、スタートレックというテーマのデコーダが付随しています。この新しいランサムウェアがニュースに値するわけは、その名前と使われている画像のほか、要求する身代金そのものにあります。身代金をビットコインで要求するのではなく、Moneroでの支払いを要求するのです。(Dark Readingの報告より、英語サイト)

KirkはWebサイトのトラフィック負荷量をテストするツールに偽装することでユーザーのシステムへのアクセス権を取得します。アクセス権を取得したら、断続的にAES 鍵を作成してファイルを暗号化し始めます。すべてのファイルが暗号化されたら、カーク船長とスポックの画像が画面上のメッセージ内に表示され、データを取 り戻すには身代金を支払わなければならないと被害者に伝えます。

最初の要求はMonero 50単位分。(約100,000円相当) 2週間後にその支払額は500 Moneroまで増加します。暗号化後1か月が経つとデータが削除されます。
身代金が支払われたら、暗号化されたファイルをスポックが複合化します。しかし、身代金の支払いだけが、データを取り戻す唯一の方法ではありません。

データの保護は、多くの人が考えるよりも簡単で、コンピュータの定期バックアップを設定することで、時間やお金の無駄、そして不必要なIT部門との電話のやり取りをなくすことができます。

Metasploit、アップグレード版のIoTセキュリティテストを提供
IoTセキュリティが大きな懸念事項になっている中で、Rapid7は、IoTセキュリティの弱点を探し出すために、侵入テストツール「Metasploit」に無線周波数(RF)のテスト機能を追加しました。(The Registerより、英語サイト) 「今後IoTエコシステムがさらに拡大するにつれてRFテストの重要性はますます高まるでしょう」と、Rapid7はある声明で述べています。

Metasploitの以前のバージョンはイーサネット接続技術に焦点を絞っていました。RFサポートを追加したことで、IoTデバイスの侵入テストができるようになります。(IoTデバイスは、悪意のある者がDoS攻撃などの潜在的な攻撃で使うための道具となる可能性があります) また、Rapid7は先日、自動運転車向けのセキュリティの検出率を高めるように作られたHardware Bridge APIによってプラットフォームを拡張しました。

インターネットに接続された防犯カメラ、ビデオレコーダ、ルーターのようなIoT製品を利用する企業が増え続けており、そのような企業にとって、IoTセ キュリティ関連の心配事が増える中でのこの最新情報は良いニュースになるでしょう。

Google、 アプリ内ランサムウェア検出ゲームをアップ
Googleは、3度目になる年次レポート 「Android Security Year in Review」をリリースしました。このレポートでGoogleは、自社が扱うアプリが悪意のあるマルウェアの影響を受けないようにして、14億人を超えるユーザーの安全を維持することに全力で取り組んでいると伝えています。(Googleのブログ記事より、英語サイト)

このレポートによれば、GoogleのVerify Appsセキュリティ機能によって1日に7億5000万回以上のチェックが実行されています。1日に4億5000万回であった2015年から大きく増加し ています。

トロイの木馬が感染したアプリの数は51.5%減少、「マルウェアダウンローダ」数は54.6%減少、バックドアを含むアプリの数は30.5%減少、そしてフィッシングアプリの数は73.4%減少しました。

2016年末時点で、有害な可能性のあるアプリ(PHA)を含むアプリをGoogle Playからダウンロードしたデバイスの割合は0.05%にまで減少しました。(2015年のこの割合は0.15%)

Googleはこの減少の一因を、自社がユーザーの安全およびAndroidコミュニティとの関係強化に全力で取り組んだことだとみています。

「セキュリティの脅威に関する情報を、Google、デバイスメーカー、研究コミュニティ、その他の人たちと共有することで、Androidの全ユーザーの安全が強化されています。2016年最大のコラボレーションは、月次セキュリティアップデートプログラムの提供と、セキュリティ研究コミュニティとの継 続的な提携関係によるものでした」と、そのブログ記事で述べられています。

また、Googleはパッチを増やしユーザーへの情報提供を続ける目的で、2015年に月次セキュリティアップデートプログラムを開始しました。このレポートではGoogleのデータ保護に向けた取り組みを重点的に取り上げており、2017年に上記の割合がさらに減少することを期待しています。

ブロックチェーンは食品偽装を防げるか?
Alibabaは、偽装された食品の流通を阻 止するためにブロックチェーン技術を活用するというプランを提案しています。

オーストラリア郵便公社(AusPost)、Blackmores、PwCと並んで、Alibabaはオーストラリアを起点として偽装された食品の販売を この新技術によって防ぐ方法はないか調査したいと考えています。(ZDnetより、英語サイト) プロジェクトの目的は「食品信頼フレームワーク」を開発することです。ブロックチェーン技術はこのプロセスを透明化し、サプライチェーンに沿って食品を追 跡する能力を強化するのに役立ちます。

食品偽装は、もっと安く済むからという理由で食品に低品質の原料を詰め込むというやり方です。このカテゴリに属する一般的な食品には、香辛料、穀物、フルーツジュース、オリーブオイルなどがあります。

他の企業も、特にサプライチェーンの中でブロックチェーン技術を使う実験を行っています。初期のテストでは、ブロックチェーン技術によって食品チェーンの健全性をよりシンプルで効率的に、より信頼できる方法で維持できる可能性があることがわかっています。

ブロックチェーンによってこのプロセスの透明性が増し、商品がどこから来たのかを買い手と売り手の両方が確認できるようになります。

AusPost、Blackmores、PwCは、サプライチェーンに対する市場調査を行うことで、この試みを支援する予定です。
「数々のスキャンダルによって、食品メー カー、プロセス、販売会社、さらには政府規制当局に置く一般市民の信頼が揺らいでいます。そのような時代に、食品サプライチェーンの信頼を確立することが重要です。世界中の消費者がすぐに欲望を満たせることを期待しています。食品の場合、それはいつでも、どこでも、ということになります。結果、食品のサプライチェーンはグローバルなものになり、複雑さと不透明さが増大します。我々のサービスが、Alibabaがこの重要な問題を解決する方法を探るための一助となると考えています」(PwC Australia CEOのSayers氏)