「Windowsの操作に最も便利なPowerShell」製ランサムウェアの脅威:Wordマクロ&PowerShellで実行
PowerShellはWindowsを最もうまく扱えるスクリプト言語だが、それが悪用されると極めて危険だ。そしてついに、WordマクロとPowerShellを組み合わせたランサムウェアが出現した。
サイバー犯罪者は、システム管理者向けのスクリプト言語である「Windows PowerShell」でランサムウェアを作成し、医療機関や大企業を標的とした攻撃を仕掛けている。
このランサムウェアを発見したのは、セキュリティ企業Carbon Blackの研究者たちだ。医療機関に送られたフィッシングメール攻撃(未遂)の事例を分析する中で見つかった。
同社の研究者たちは、組織を標的としたこの新種のランサムウェアを「PowerWare」と名付けた。請求書などに見せかけた「Microsoft Word」形式のファイルにマクロを仕込み、企業などに送信する。そしてPowerShellを使って悪質なコードを取得し、それを実行するという手口だ。攻撃の実行中、新たなファイルをディスクに書き込むなどの痕跡を残さない。しかもランサムウェアが含まれるファイルは、業務で使用する正式な書類とほとんど見分けが付かないので、検出が以前に増して難しくなっている。
従来のランサムウェアは悪意のあるファイルをシステムにインストールするので、簡単に検出できる場合もあった。
PowerWareのコード自体は単純だが、ランサムウェアとしては目新しいと研究者は指摘する。斬新な手口で攻撃するランサムウェアを作りたがるマルウェア作者が増える傾向を反映しているという。
PowerWareは、PowerShellのインスタンスを2つ起動するマクロを実行するWord文書に仕込まれていた。一方のインスタンスがランサムウェアのスクリプトをダウンロードする。続いてもう一方のインスタンスがそのスクリプトを入力として使い、標的にしたシステムのファイルを暗号化するコードを実行する。そして、データを復元したければ身代金を払えと要求する。
暗号鍵の取得
PowerWareが要求する身代金は当初500ドルだが、2週間たっても支払われないと1000ドルに引き上げられる。
ランサムウェアは金もうけの手段として急激に増加している。2015年の第4四半期の報告件数は、前年同期比で26%増だという。この調査結果は、2016年3月22日に公開された「McAfee Labs threat report」(McAfee Labs脅威レポート)で明らかになった。
調査によって、研究者チームは次のことに気づいた。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Copyright © ITmedia, Inc. All Rights Reserved.