YouTubeで感染? ランサムウェアの恐怖

江添 佳代子

January 13, 2015 18:23
by 江添 佳代子

トレンドマイクロは10月14日、「YouTubeの悪質な広告を利用し、ユーザーのPCをランサムウェアに感染させる攻撃」を確認したことを同社のブログで発表した。このニュースは日本のWebサイトで目にしたという方も多いだろう。しかし、一部の記事で見られた、「YouTubeの広告で11万人以上の米国ユーザーが感染」という表現には、少々誤解があるかもしれない。

問題のブログ(翻訳前のページ)には、以下のように記されている。

  1. 悪質な広告を利用し、いろいろな悪意あるサイトへユーザーを導く『1つの悪質な活動』を、われわれは数ヵ月間に渡って監視してきた。
  2. この活動の影響をほぼ独占的に受けている米国では、30日間で11万3000人以上のユーザーが犠牲となった。
  3. われわれは最近、この活動がYouTubeの広告にも現れたことを確認した。

つまり「月11万人以上の被害者を出した一連の攻撃」が、YouTubeの広告枠も利用していた、と考えた方が良いだろう。とはいえ、もちろんそれは大いに懸念されるべきことだ。同ブログによれば、それはYouTubeそのものの広告枠だけではなく、有名レーベルがアップロードしたミュージックビデオ(再生回数1100万回以上)にも表示されていたという。公式にアップロードされている動画に付帯している広告に不安を覚えるユーザーは少ないだろう。

この種の攻撃では、広告をクリックしたユーザーを悪意あるコードの埋め込まれたサイトへ直接飛ばすのが一般的だ。しかし、今回YouTubeで見つかった攻撃では、2つのリダイレクトサーバーを経由して目的のサイトへユーザーを導くという手法が採られており、この犯罪者たちは正規の広告プロバイダーから広告枠を買ったものと考えられている。

そのリダイレクト先の最終目的地となるWebサイトでは、悪名高いexploitキット「Sweet Orange」が利用されていた。Java、IE、Flashに存在する4つの脆弱性を利用するSweet Orangeは、これまでにもいろいろな「上級者向けの」攻撃に用いられてきた。2013年11月のThe Registerは、アンダーグラウンド界での同キットのレンタル料金が約450ドル/週、または約1800ドル/月であると報じた(ちなみに同キットの作者は2012年にその感染率が10%~25%になるとも豪語している)。トレンドマイクロの分析によると、今回の攻撃に用いられたSweet Orangeは、IEの脆弱性のみを利用するバージョンなので、「2013年5月に配布されたパッチを当てていないIE」のみが影響を受けるという。

次に、この攻撃の最終的な目的となる「ランサムウェアの感染」について確認したい。ランサムウェアは数年前から活動の範囲を広げており、2013年には大きな脅威となったタイプのマルウェアだが、日本での感染は2014年3月まで確認されていなかったため(後述)、それほど馴染みがないという方もいらっしゃるだろう。

ランサムウェア(ransomware/ransomは身代金を意味する)は、感染したPCの持ち主に身代金を要求するマルウェアだ。その多くは警察や大手企業を騙り、「あなたは法を犯した、罰金を払え」と脅すだけのものだった。しかし昨今では、感染先のハードディスクやファイルを暗号化する、あるいはPCのシステムをロックするなどの方法でPCの操作を実際に制限し、「元に戻してほしければ身代金を払え」と恐喝するものもある。特に2013年には「今年の最も不快なサイバー脅威」と呼ばれ、緻密で大胆な詐欺を展開したランサムウェア「CryptoLocker」が大規模な混乱をもたらした。

CryptoLockerの侵入経路は、PDFファイルを装った実行可能ファイルのzipとして、メールに添付されるケースが一般的だ。いったんPCに感染すると、このランサムウェアはハードディスク内のファイルを暗号化し、PCの持ち主へ「72時間以内に、復号用の秘密鍵と引き替えとして身代金を支払うよう」要求する。その身代金の額は、通常300ドル+最大2Bitcoin(約700ドル、ただしCryptoLockerが猛威をふるっていた頃の相場は約450ドル)程度だった。

重要なファイルを人質に取られ、悩んだ末に無視することを選び、時間制限を過ぎてから後悔したユーザーも中にはいただろう。ご丁寧なことに、CryptoLockerの使い手は、身代金を支払えなかったユーザーに期限超過支払いのオプション(ただし、その際の請求金額は10Bitcoinまで跳ね上がる)も提供していた。

今回、YouTubeの広告を利用した攻撃に用いられたランサムウェアは「Kovter」の亜種で、CryptoLockerのように悪質な暗号化を行うものではない。単に警察などの機関を装って「嘘の罰金の支払い」を命じるもの、つまり初心者を脅して金を騙し取るタイプの詐欺だ。それなら一安心、と言いたいところだが、ランサムウェアが身近になりつつあるという事実は、誰もが心に留めるべきだろう。

2014年3月には、日本語で脅迫する初めてのランサムウェア「BitCrypt」の存在も確認された。さらに9月にriはESETが、日本でのランサムウェアの感染が急速に拡大していると警鐘を鳴らしている。今後、国内でどのようなランサムウェアが広がるのかは予想できない。いざという時のため、大事なデータのバックアップはこまめに取ることを強くお勧めしたい。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…