PowerShellはWindowsを最もうまく扱えるスクリプト言語だが、それが悪用されると極めて危険だ。そしてついに、WordマクロとPowerShellを組み合わせたランサムウェアが出現した。
サイバー犯罪者は、システム管理者向けのスクリプト言語である「Windows PowerShell」でランサムウェアを作成し、医療機関や大企業を標的とした攻撃を仕掛けている。
このランサムウェアを発見したのは、セキュリティ企業Carbon Blackの研究者たちだ。医療機関に送られたフィッシングメール攻撃(未遂)の事例を分析する中で見つかった。
同社の研究者たちは、組織を標的としたこの新種のランサムウェアを「PowerWare」と名付けた。請求書などに見せかけた「Microsoft Word」形式のファイルにマクロを仕込み、企業などに送信する。そしてPowerShellを使って悪質なコードを取得し、それを実行するという手口だ。攻撃の実行中、新たなファイルをディスクに書き込むなどの痕跡を残さない。しかもランサムウェアが含まれるファイルは、業務で使用する正式な書類とほとんど見分けが付かないので、検出が以前に増して難しくなっている。
従来のランサムウェアは悪意のあるファイルをシステムにインストールするので、簡単に検出できる場合もあった。
PowerWareのコード自体は単純だが、ランサムウェアとしては目新しいと研究者は指摘する。斬新な手口で攻撃するランサムウェアを作りたがるマルウェア作者が増える傾向を反映しているという。
PowerWareは、PowerShellのインスタンスを2つ起動するマクロを実行するWord文書に仕込まれていた。一方のインスタンスがランサムウェアのスクリプトをダウンロードする。続いてもう一方のインスタンスがそのスクリプトを入力として使い、標的にしたシステムのファイルを暗号化するコードを実行する。そして、データを復元したければ身代金を払えと要求する。
PowerWareが要求する身代金は当初500ドルだが、2週間たっても支払われないと1000ドルに引き上げられる。
ランサムウェアは金もうけの手段として急激に増加している。2015年の第4四半期の報告件数は、前年同期比で26%増だという。この調査結果は、2016年3月22日に公開された「McAfee Labs threat report」(McAfee Labs脅威レポート)で明らかになった。
調査によって、研究者チームは次のことに気づいた。
続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。
SASのCMOが語る マーケティング部門が社内の生成AI活用のけん引役に適している理由
データとアナリティクスの世界で半世紀近くにわたり知見を培ってきたSAS。同社のCMOに、...
SALES ROBOTICSが「カスタマーサクセス支援サービス」を提供
SALES ROBOTICSは、カスタマーサクセスを実現する新サービスの提供を開始した。
「Fortnite」を活用 朝日広告社がメタバース空間制作サービスとマーケティング支援を開始
朝日広告社は、人気ゲーム「Fortnite」に新たなゲームメタバース空間を公開した。また、...
ITmediaはアイティメディア株式会社の登録商標です。
