2016年05月26日 08時00分 UPDATE
特集/連載

Wordマクロ&PowerShellで実行「Windowsの操作に最も便利なPowerShell」製ランサムウェアの脅威

PowerShellはWindowsを最もうまく扱えるスクリプト言語だが、それが悪用されると極めて危険だ。そしてついに、WordマクロとPowerShellを組み合わせたランサムウェアが出現した。

[Warwick Ashford,Computer Weekly]
Computer Weekly

 サイバー犯罪者は、システム管理者向けのスクリプト言語である「Windows PowerShell」でランサムウェアを作成し、医療機関や大企業を標的とした攻撃を仕掛けている。

Computer Weekly日本語版 5月25日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 5月25日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 このランサムウェアを発見したのは、セキュリティ企業Carbon Blackの研究者たちだ。医療機関に送られたフィッシングメール攻撃(未遂)の事例を分析する中で見つかった。

 同社の研究者たちは、組織を標的としたこの新種のランサムウェアを「PowerWare」と名付けた。請求書などに見せかけた「Microsoft Word」形式のファイルにマクロを仕込み、企業などに送信する。そしてPowerShellを使って悪質なコードを取得し、それを実行するという手口だ。攻撃の実行中、新たなファイルをディスクに書き込むなどの痕跡を残さない。しかもランサムウェアが含まれるファイルは、業務で使用する正式な書類とほとんど見分けが付かないので、検出が以前に増して難しくなっている。

 従来のランサムウェアは悪意のあるファイルをシステムにインストールするので、簡単に検出できる場合もあった。

 PowerWareのコード自体は単純だが、ランサムウェアとしては目新しいと研究者は指摘する。斬新な手口で攻撃するランサムウェアを作りたがるマルウェア作者が増える傾向を反映しているという。

 PowerWareは、PowerShellのインスタンスを2つ起動するマクロを実行するWord文書に仕込まれていた。一方のインスタンスがランサムウェアのスクリプトをダウンロードする。続いてもう一方のインスタンスがそのスクリプトを入力として使い、標的にしたシステムのファイルを暗号化するコードを実行する。そして、データを復元したければ身代金を払えと要求する。

暗号鍵の取得

 PowerWareが要求する身代金は当初500ドルだが、2週間たっても支払われないと1000ドルに引き上げられる。

 ランサムウェアは金もうけの手段として急激に増加している。2015年の第4四半期の報告件数は、前年同期比で26%増だという。この調査結果は、2016年3月22日に公開された「McAfee Labs threat report」(McAfee Labs脅威レポート)で明らかになった。

 調査によって、研究者チームは次のことに気づいた。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news083.jpg

「アドエビス」が「モニプラ」と連携、ユーザー行動×定性データの施策評価が可能に
ロックオンは、「アドエビス」において、「モニプラ」と連携すると発表した。

news057.jpg

6秒動画に特化した動画広告配信サービス「BumVi」、ジーニーとトレンダーズが提供
ジーニーはトレンダーズと共同で、6秒動画に特化した新しい動画広告配信サービス「BumVi...

news055.jpg

トランスコスモス、Salesforceと連携したレコメンドダイレクトメール「レコレタ」を提供
トランスコスモスは、Salesforceと連携し、顧客セグメントに応じて紙のダイレクトメール...