「Windowsの操作に最も便利なPowerShell」製ランサムウェアの脅威Wordマクロ&PowerShellで実行

PowerShellはWindowsを最もうまく扱えるスクリプト言語だが、それが悪用されると極めて危険だ。そしてついに、WordマクロとPowerShellを組み合わせたランサムウェアが出現した。

2016年05月26日 08時00分 公開
[Warwick AshfordComputer Weekly]

 サイバー犯罪者は、システム管理者向けのスクリプト言語である「Windows PowerShell」でランサムウェアを作成し、医療機関や大企業を標的とした攻撃を仕掛けている。

 このランサムウェアを発見したのは、セキュリティ企業Carbon Blackの研究者たちだ。医療機関に送られたフィッシングメール攻撃(未遂)の事例を分析する中で見つかった。

 同社の研究者たちは、組織を標的としたこの新種のランサムウェアを「PowerWare」と名付けた。請求書などに見せかけた「Microsoft Word」形式のファイルにマクロを仕込み、企業などに送信する。そしてPowerShellを使って悪質なコードを取得し、それを実行するという手口だ。攻撃の実行中、新たなファイルをディスクに書き込むなどの痕跡を残さない。しかもランサムウェアが含まれるファイルは、業務で使用する正式な書類とほとんど見分けが付かないので、検出が以前に増して難しくなっている。

 従来のランサムウェアは悪意のあるファイルをシステムにインストールするので、簡単に検出できる場合もあった。

 PowerWareのコード自体は単純だが、ランサムウェアとしては目新しいと研究者は指摘する。斬新な手口で攻撃するランサムウェアを作りたがるマルウェア作者が増える傾向を反映しているという。

 PowerWareは、PowerShellのインスタンスを2つ起動するマクロを実行するWord文書に仕込まれていた。一方のインスタンスがランサムウェアのスクリプトをダウンロードする。続いてもう一方のインスタンスがそのスクリプトを入力として使い、標的にしたシステムのファイルを暗号化するコードを実行する。そして、データを復元したければ身代金を払えと要求する。

暗号鍵の取得

 PowerWareが要求する身代金は当初500ドルだが、2週間たっても支払われないと1000ドルに引き上げられる。

 ランサムウェアは金もうけの手段として急激に増加している。2015年の第4四半期の報告件数は、前年同期比で26%増だという。この調査結果は、2016年3月22日に公開された「McAfee Labs threat report」(McAfee Labs脅威レポート)で明らかになった。

 調査によって、研究者チームは次のことに気づいた。




続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。






ITmedia マーケティング新着記事

news063.jpg

約8割の人が経験する「見づらいホームページ」 最も多い理由は?
NEXERはくまwebと共同で「見づらいホームページ」に関するアンケートを実施した。

news119.jpg

スマホ時間の奪い合い「利用者増えても、利用時間は減少」 唯一の勝者は?
データマーケティング支援のGlossomは、「スマートフォンでのメディアとコマースの利用に...

news100.jpg

生成AI時代のコンテンツ制作の課題 アドビが考える解決法は?
求められる顧客体験はますます高度になる一方で、マーケターのリソースは逼迫している。...