「Windowsの操作に最も便利なPowerShell」製ランサムウェアの脅威Wordマクロ&PowerShellで実行

PowerShellはWindowsを最もうまく扱えるスクリプト言語だが、それが悪用されると極めて危険だ。そしてついに、WordマクロとPowerShellを組み合わせたランサムウェアが出現した。

2016年05月26日 08時00分 公開
[Warwick AshfordComputer Weekly]

 サイバー犯罪者は、システム管理者向けのスクリプト言語である「Windows PowerShell」でランサムウェアを作成し、医療機関や大企業を標的とした攻撃を仕掛けている。

 このランサムウェアを発見したのは、セキュリティ企業Carbon Blackの研究者たちだ。医療機関に送られたフィッシングメール攻撃(未遂)の事例を分析する中で見つかった。

 同社の研究者たちは、組織を標的としたこの新種のランサムウェアを「PowerWare」と名付けた。請求書などに見せかけた「Microsoft Word」形式のファイルにマクロを仕込み、企業などに送信する。そしてPowerShellを使って悪質なコードを取得し、それを実行するという手口だ。攻撃の実行中、新たなファイルをディスクに書き込むなどの痕跡を残さない。しかもランサムウェアが含まれるファイルは、業務で使用する正式な書類とほとんど見分けが付かないので、検出が以前に増して難しくなっている。

 従来のランサムウェアは悪意のあるファイルをシステムにインストールするので、簡単に検出できる場合もあった。

 PowerWareのコード自体は単純だが、ランサムウェアとしては目新しいと研究者は指摘する。斬新な手口で攻撃するランサムウェアを作りたがるマルウェア作者が増える傾向を反映しているという。

 PowerWareは、PowerShellのインスタンスを2つ起動するマクロを実行するWord文書に仕込まれていた。一方のインスタンスがランサムウェアのスクリプトをダウンロードする。続いてもう一方のインスタンスがそのスクリプトを入力として使い、標的にしたシステムのファイルを暗号化するコードを実行する。そして、データを復元したければ身代金を払えと要求する。

暗号鍵の取得

 PowerWareが要求する身代金は当初500ドルだが、2週間たっても支払われないと1000ドルに引き上げられる。

 ランサムウェアは金もうけの手段として急激に増加している。2015年の第4四半期の報告件数は、前年同期比で26%増だという。この調査結果は、2016年3月22日に公開された「McAfee Labs threat report」(McAfee Labs脅威レポート)で明らかになった。

 調査によって、研究者チームは次のことに気づいた。




続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。






ITmedia マーケティング新着記事

news115.jpg

コカ・コーラ流 生成AIをマーケティングに活用する方法(無料eBook)
生成AIがこれからのマーケティングをどう変えるのかは誰もが注目するテーマ。世界最先端...

news080.jpg

DIORが本気で挑むラグジュアリー体験としてのAR
広告プラットフォームのTeadsがAR(拡張現実)とAI(人工知能)技術を応用したサービスを...

news057.jpg

AIに対して良い印象を持っている人は70%以上 理由は?
楽天インサイトが「AIに関する調査」結果を発表。AI(人工知能)のイメージや生活への関...