【ランサムウェア分析】

Magniberランサムウェアと推定される侵害事案の発生を受け、現状の確認と注意喚起のため、本分析結果を報告いたします。

本報告書は、2017年に初出が確認されたCerberランサムウェアの後継系統とされるMagniberランサムウェアの最新の活動動向について詳述する。特に韓国語OS環境や韓国IPアドレスを主な標的とする傾向が見られるが、2022年においても攻撃配信手法の多様化を通じて持続的な脅威をもたらし、実際に被害事例が確認されている。

Magniberランサムウェアは、従来の実行ファイル（EXE）形式による感染媒体から、より検知を回避しやすい形態へと進化を続けている。

最新の攻撃動向と進化

攻撃の進化は、主に以下の二つの主要な手法に基づいている。

• 主要攻撃手法：Webブラウザの脆弱性を悪用したファイルレス（Fileless）形態

  一般ユーザーのPCにおいて、Webブラウザのセキュリティパッチ適用が不十分な場合に悪用される。具体的には、YouTube動画のダウンロードを試みる際のURLの不正な変更や、既存サイトのURLへのタイポスクワッティング（URLハイジャックまたは不正URL）入力が発生した際、自動的にランサムウェア攻撃が実行され、ファイル感染に至る経路が確認されている。

   

• 主要攻撃手法：Windows必須プログラムを偽装した形態

  Webブラウザの脆弱性パッチが適用されている環境に対し、Windows関連の必須プログラムを偽装したファイル（APPX形式のWindowsアプリケーション、MSI形式のWindowsインストーラ、CPL形式のコントロールパネル関連ファイル）を用いてマルウェアをダウンロードさせる手口が確認されている。これにより、ユーザーがファイル名を疑いにくく、クリック実行を誘発し、内部に含まれる脆弱性悪用攻撃によりユーザーファイルが暗号化され、被害が発生している。

   

初期の攻撃フェーズでは、実行ファイル形式のランサムウェアをEメールのリンクや添付ファイル経由で配布し、ユーザーによる実行を待って暗号化攻撃を開始していた。しかし、現在の主要な動作プロセスは、ブラウザの脆弱性を起点としたファイルレス攻撃、またはシステムコンポーネントを偽装したダウンロード・実行を主体としている。

（※入力データには暗号化されたファイル拡張子やランサムノートの具体的な内容は含まれていなかったため、ここでは一般的な被害拡大プロセスを示す。）

感染が成功した場合、被害システム内の重要ファイルが暗号化される。攻撃者は身代金要求に関する情報を通知するランサムノートをシステム内に残す。

本ランサムウェアの多様な攻撃経路に対応するため、以下の対策の徹底を強く推奨いたします。

• 個人情報や業務ファイルなど重要なデータについては、PC本体とは分離されたストレージやクラウドサーバーに対し、定期的なバックアップを実施してください。
• 電子メールに添付されたファイルは、既知の送信元からのものであっても、安易な実行を控えてください。
• メッセージングアプリやSMS経由のリンククリック、およびP2Pネットワーク（例：トレント）経由でのファイルダウンロードには最大限の注意を払ってください。
• アンチウイルスソフトウェアを導入し、常に最新の状態を維持してください。
• オペレーティングシステムおよび主要アプリケーションのセキュリティパッチを最新の状態に維持してください。
• セキュリティサポートが終了しているInternet Explorer (IE) ブラウザやFlash Playerなどの利用には特に注意し、主要なソフトウェアのセキュリティパッチ適用状況を定期的に確認し、適用を徹底してください。

特定製品（WhiteDefender）利用者への追加案内

（※以下は特定の製品利用者に向けた注意喚起として保持する）

• WhiteDefenderのバックアップ/復旧機能を利用される場合は、必ずリアルタイム監視機能を有効にしてください。
• ランサムウェア予防のための基本セキュリティ対策の遵守は必須です。特にWindows 10以上、Edge/Chromeブラウザの使用を推奨します。セキュリティリスクが高い環境でのPC利用においては、バックアップ管理をより厳格に行う必要があります。
• 弊社では、新種のランサムウェアに対する迅速な分析と最新の定義ファイル更新を通じて対応を支援しております。

特定のセキュリティソリューションの導入をもってしても、セキュリティ規律の遵守が疎かになれば、ランサムウェア感染リスクは高まります。いかなるソリューションも100%の防御を保証するものではありませんが、弊社製品は完全防御に向け継続的な改善に努めております。