行動可能な

ブラウザーがロックされた?この番号へ電話してください。

最近、新しい形のブラウザー ロッカーが姿を現しています。ブラウザー ロッカーは、ブラウザーをロックするウェブサイトへ、ブラウザーをリダイレクトするウェブサイトやポップアップです。ユーザーは、問題を起こしているブラウザー ウィンドウのクローズや新規ページのオープン、アプリケーション自体のクローズといった通常の操作を、その後一切できなくなります。 この新しいブラウザー ロッカーは、図1のとおりMicrosoft公式サポートと自称しています。もちろん、このページはMicrosoftとは何の関係もなく、Microsoftが承認したものでもありません。 図1: 偽のMicrosoft公式サポート ブラウザー ロッカー このブログで取り上げたようなランサムウェアとしての役割も果たす、より一般的なブラウザー ロッカーとは異なり、この新しい形式のブラウザー ロッカーは、サポートの番号へ電話するようユーザーに求めます。 このブラウザー ロッカー ウィンドウがポップアップすると、まず図2および図3のような「Your Windows(Microsoft) Computer has been blocked(お使いのWindows(Microsoft)コンピューターはブロックされました)」というメッセージがユーザーに表示されます。 図2: Internet Explorerに表示されるブロック メッセージ 図3: Firefoxに表示されるブロック メッセージ よく見ると、このブロック メッセージには、図4のとおり次のようなメッセージが含まれています。 図4: ブロック メッセージ全文 ポップアップ メッセージの他にも、ブラウザー ロッカーは音声メッセージの再生を無限に繰り返します。以下は、音声メッセージを転記したものです。 「Important security message.(重要なセキュリティ メッセージです。)Please call the number provided as…

隠された罠(パート2):ブラウザーをロックさせるランサム ページの解決

元の「隠された罠」ブログでは、攻撃者のありふれた風景の中に潜む能力について説明しました。このアプローチを活用して非常に大きな成功を収めたキャンペーンとして偽装FBIランサム ページが挙げられます。これは、FBIの所有物であることをうたいながら、被害者からお金をゆすり取ろうとする不正なWebサイトです。 図1: 偽装FBI Webサイト このサイトは、ブラウザーがロックしたように見せかけることにより、システムがロックしていてブラウザーのロックを解除するには身代金を支払うしかないとユーザーに思い込ませます。上で紹介した前の記事では、このサイトの仕組みについて説明しています。 このタイプの攻撃は最近大きな成功を収めたため、同じ考え方の新しいバリエーションのサイトが次々と見つかっています。いくつかの国の法務機関を装ったローカライズ版の攻撃さえあります。ただし、検出を逃れるために使用される基盤テクノロジーは一貫しています。従来のAVおよび静的スキャン テクノロジーでは、これらのページはブロックされません。ブラウザーをロックするための基になるコードは、実際には悪質なコードではないからです。ただし、不正に適用すれば悪質な使い方ができることは確かです。 この場合、使用されているコードは150回ループするループ文です。つまり、ユーザーがクリックを150回繰り返せば、ブラウザーのロックが解除されます。しかし、ユーザーはこのことを知るすべがなく、おそらくは屈服してしまいます。また、攻撃者が回数を150回から150,000回に増やすことを防ぐ手段もありません。 良いニュースがあります。第一に、この問題は、実際にはほぼすべてのユーザーが複雑なセキュリティ ツールを入手または使用することなく解決できます。次の4つのステップ(詳細は以下で説明します)を実行すると、ブラウザーのロックが解除されます。 プロセスを強制終了する 履歴をすべてクリアし、ブラウザーをリセットする 「クラッシュからの復元」設定を変更する ブラウザーを更新する ブラウザー プロセスを強制終了する手順は、ハングしたプログラムを強制終了する場合と同じです。Windowsの場合は、Ctrl-Alt-Delを押し、ブラウザー プロセスを見つけて終了します。Macの場合は、Apple アイコン | [強制終了]をクリックし、ブラウザー アプリケーションを選択して終了します。これにより、ロックされたブラウザーが強制終了されます。 攻撃者は、これがほとんどのユーザーが最初に試みる対策であることを知っています。そのため、偽装Webサイトがブラウザー プロセスの終了後も存続するようにしています。通常は、ブラウザーを再度開くと、偽装FBI Webサイトが再び表示されます。攻撃者は持続性を組み込んでいるのです。 2番目のステップは、履歴をすべてクリアし、ブラウザーをリセットすることです。こうすることで、問題を部分的に解決できます。これを達成するにはさまざまな方法があります。どの方法を使用するかは、お使いのブラウザーによって異なります。図2は、MacでSafariをリセットする手順を示しています。図3は、WindowsでFirefoxの履歴をクリアする手順を示しています。 図2: Safariのリセット 図3: Firefoxの履歴のクリア 言うまでもなく、問題はまだ完全には解決されていません。「クラッシュからの復元」設定も変更する必要があります。プロセスの強制終了または終了は、アプリケーションまたはプログラムによってクラッシュ条件とみなされます。プログラム(この場合はブラウザー)がクラッシュからのリカバリー後に最後のセッションを表示するように設定されている場合は、ブラウザーを開くと偽装FBI Webサイトが再び表示されます。これを防ぐには、すべてのブラウザーがクラッシュからのリカバリー後に新しいセッションを開くか、ホーム ページに直接移動するように設定します。一部のブラウザーでは、ページに直接移動する代わりに最後のセッションを開くように選択できます。Safariの場合は、図4に示すように、「最後のセッションのすべてのウィンドウ」ではなく「新しいウィンドウ」を開くように設定します。この設定は、Safari | [環境設定]の[一般]タブにあります。 図4: Safariの「クラッシュからの復元」 最初の3つのステップはある程度の労力を必要としますが、追加のツールを使用せずに偽装Webサイトの問題を解決できます。ブラウザーの製造元は、偽装ランサムWebサイトの問題を認識しており、ありふれた風景に隠れているこのロック メカニズムの悪用を制限するための対策を講じています。ダイアログ ボックスを閉じるために操作を150回繰り返さなくても済むように、一部のブラウザー ベンダーは、「OK」をクリックしたときにメッセージ ウィンドウを閉じるかどうかをユーザーに尋ねるシンプルなチェック ボックスを導入しています。これは偽装ランサム サイトを阻止するのにかなり役立ちました。 したがって、ブラウザーの更新(プロセスの4番目のステップ)は非常に重要です。問題の再発を防止できるようになる可能性があるだけでなく、最新の機能やセキュリティ対策がすべて手に入ります。お使いのプラグインとの互換性の問題が発生する可能性もありますが、これはまた別の問題です。

また新たなランサムウェアが出現

TeslaCryptは、ユーザー データと特定のコンピューター ゲームがインストールされたコンピューターを標的とするランサムウェア型のトロイの木馬です。このマルウェアはシステムに感染すると、個人のドキュメントだけでなく、Call of Dutyシリーズ、World of Warcraft、Minecraft 、World of Tanksなどの各種ゲームに関連するさまざまなファイル タイプを探しだし、暗号化します。その後、被害を受けたユーザーに、ファイルを複合化するキーを取得するための身代金としてビットコインを支払うように要求します。以下は、このマルウェアに関する詳細情報です。 キル チェーンの流れ: 1.  武器化:Angler Exploit Kit(ブラウザー ベースのエクスプロイト キット)を実行する感染Webサイト。Sweet OrangeやNuclearなど、他のエクスプロイト キットでも、いくつか事例が報告されています。 2.  配信方法:被害者をAngler Exploit Kitにリダイレクトするメールの添付ファイルまたはWebサイト。 3.  エクスプロイト:Angler Exploit Kitは、CVE-2015-0311に対するエクスプロイトが含まれた悪意のあるFlashオブジェクトを配信します。このエクスプロイトのペイロードがTeslaCryptです。AEKには他にも、CVE 2013-2551(IE)、CVE-2013-0074(Silverlight)、CVE-2013-2465(JRE)、CVE-2014-0515(Adobe ShockWave Flash Player)などのエクスプロイトが含まれていることがわかっています。 4.  インストール:TeslaCryptは、被害者のコンピューター上にある写真、ビデオ、ドキュメント、ゲームなどのデータ ファイルを暗号化します。 5.  指令と制御:マルウェアは北米の複数のドメインに接続します。接続先ドメインは他にも世界中にあります。 6.  意図されたアクション:身代金が要求されます。ユーザーには、次のような警告が表示されます。 システム内のすべてのファイルが暗号化され、カスタム拡張子がファイルに追加されます これらの脅威から企業ユーザーを保護する方法 RSA ECATは、主要なシステム動作を監視するエージェントがエンドポイント(社内LAN/ローミング)にインストールされるため、ランサムウェアを簡単に検出でき、対策を講じるのに役立ちます。収集されたデータは継続的にサーバーに送信されます。分析はすべてサーバーで実行されます。マルウェアの兆候であることが多い異常な動作がないかを、インスタントIOC機能がスキャンします。その結果を受けて、エンドポイントごとにスコアが生成されます。ランサムウェアに感染している場合は、以下に示すように、マシンのスコアが大幅に上昇します。 .…