ランサムウェアの発見が難しい背景
狡猾なサイバー犯罪集団の罠

 サイバーセキュリティ対策会社であるサイバーリーズン・ジャパンは、そのウェブサイト上で、今回の進化型とも言えるRagnar Lockerによるランサムウェアの攻撃の特徴について、以下のように説明している。

                    ◇

(一部抜粋)
 Ragnar Lockerの特徴は、自身がセキュリティツールによって検知されることを、これまで以上に巧みにかわしている点にあります。昨今では多くの企業・組織がサイバー攻撃対策の強化に取り組んでいるため、正面切って攻撃ターゲットのネットワークに侵入するのは難しくなってきています。

 そこでRagnar Lockerは、ターゲット企業・組織のシステムそのものではなく、システムの運用を請け負っているマネージド・サービスプロバイダー業者が利用する管理ソフトウェアの弱点を突き、侵入の足掛かりを確保します。

 続いて、Windowsの正規の管理ツールであるWindowsグループポリシーオブジェクト (GPO) を用いて、マルウェア本体が含まれるインストールパッケージファイルをダウンロードさせます。

 そして、同じく正規のツールであるPowerShellを用いて、ネットワーク内での偵察や攻撃を行います。これらのプロセスは正規のツールを使って動作するため、セキュリティツールによる検知を困難にしています。

 さらにRagnar Lockerは、仮想化ソフトウェア「Oracle VirtualBox」を用いて、仮想マシン上で動作するよう設定されます。仮想マシン内で具体的にどんな処理が行われているのか、外部からその詳細を知ることは容易ではありません。仮想マシンの外で動作しているセキュリティツールの側から見ると、Ragnar Lockerによる攻撃行動も「Oracle VirtualBoxによる正規のプロセス」としてしか認識できないため、やはり攻撃の検知を極めて難しくしています。

                    ◇