インターネット広告を通じて流布されるランサムウェア

本レポートは、アンラボコリアより発表された内容を翻訳したものです。

----------------------------------------------------------------------------------------------

最近、疑わしいファイルを実行していないのにランサムウェアに感染したという問い合わせが増えている。

これは、インターネット広告を利用したマルバタイジング (Malvertising) 手法による被害事例である。

※ マルバタイジング

    : マルウェア (Malware) と広告 (Advertising) を組み合わせた造語。 

ランサムウェア攻撃は、主にスパムメールとマルバタイジング手法を利用して行われる。

スパムメールを利用したランサムウェア感染は、ユーザーが添付ファイルを実行した際もしくはメール本文に含まれたリンクをクリックした際に発生する。

一方、マルバタイジング手法は、インターネットサイトに挿入される広告を利用したマルウェア流布方式である。

 広告が含まれた Web ページにユーザーが接続すると、広告サーバーは正常な広告にマルウェア配布ツール (Exploit Kit) を挿入して Web ページに転送する。この Web ページがユーザーのブラウザで実行されるとセキュリティ脆弱性を利用した Drive-by-download 方式によりシステムがマルウェアに感染する。

このようにユーザーは疑わしいファイルをダウンロード・実行しなくても、マルウェアに感染してしまうのである。

インターネット広告は一つの広告サーバーから複数の Web サイトの広告を転送するため、短時間で多数のユーザーに露出される。このため、広告サーバーを利用した流布方法は、他のマルウェア流布方法に比べ及ぼす影響が非常に大きい。 

[図 1] は、マルバタイジング攻撃事例で確認されたネットワーク情報である。 

「www.livead*********.com」 は Web ページに広告を提供する広告サーバーであり、この広告サーバーは、ユーザーの Web ブラウザから要求された広告ページを転送する。この広告ページは 「tom****.com」 に接続され、このサイトは再びマルウェア配布元である 「108.**.***.63」 に接続するように作成されている。

最終的に接続されるページで Flash ファイルが実行され、CrpytXXX ランサムウェアがユーザー PC に Drive-by-download される。 

[図 1] マルバタイジング攻撃事例

ランサムウェアは、感染した PC に保存されている文書、イメージファイルなどを暗号化した後、感染メッセージ (※[図 2]) を表示させる。 

[図 2] ランサムウェア感染メッセージ

ランサムウェア攻撃の範囲は次第に拡大しており、ランサムウェア攻撃による被害を予防するためには、以下のような対策が必要である。

- アンチウイルスソフトウェアをインストールし、エンジンを最新のバージョンに維持する。

- OS、ブラウザおよび主要アプリに最新のセキュリティアップデートを適用する。

- 送信者が不明な E メールに含まれた疑わしいファイルの実行およびセキュリティが脆弱なサイトへの接続を控える。

- 重要なファイルは定期的にバックアップし、PC 以外の外部記憶装置を利用して2次バックアップしておく。 

V3 製品では、当該ランサムウェアを以下の診断名で検知できる。

- Win-Trojan/CryptXXX.Gen