IT技術が進歩していくにつれて、ウィルスやワーム、トロイの木馬といったマルウェアも巧妙化しつつあります。
企業においては、こうした外部からのマルウェア感染感染から自社のネットワークを守り、安全な環境下で作業をすることが必須です。しかし、最近になって新型マルウェア「Big Head」および亜種が報告されました。
そこで今回は「Big Head」亜種について、マルウェア感染しないための対策とあわせて解説します。
マルウェアとは、デバイスやネットワークに侵入して、悪意のあるプログラムを行うウィルス・ワームといったソフトウェアの総称です。中には、コンピュータウィルスやワーム自体をマルウェアと呼ぶケースもありますが、本来はそれらの総称を呼びます。
マルウェアは感染したデバイスおよびネットワークから金銭に繋がるデータを窃取するのが基本です。中には、デバイス・ネットワークを利用不可にさせ、正常に作動させるために金銭を要求するサイバー犯罪者も存在します。
上記のように手法は多様で、実に膨大な数のマルウェアが日々生み出され、多くのデバイス・ネットワークを脅威に晒しているのが現状です。
今回紹介するBig Headも例外ではなく、昨今で生み出された膨大なマルウェアの中の1つです。
新型マルウェアである「Big Head」は、2023年5月に報告されました。以降、最低でも2つの亜種が発見されており、情報が公開されています。
Big Headは、WindowsアップデートやWordインストーラに偽装したマルバダイジングで、クリックしたデバイスの情報を窃取するのが特徴です。画面には、単純にアップデートやインストール画面が表示されるだけなので、不信感なくクリックしてしまうのが手口でしょう。
主に盗まれるのは、
・ブラウザ履歴
・ディレクトリリスト
・起動中プロセス
・プロダクトキー
・アクティブなネットワーク
上記の項目で、種類によって挙動や内容が異なります。
また、Fortinetが6月中旬に公開したレポートでは、要求金額の安さから、Big Headは個人・消費者をターゲットにしている点が指摘されています。どちらにせよ、マルウェアである以上は感染させないように、特徴・症状を覚えておいて損はないでしょう。
トレンドマイクロ社は、Big Headのアクターと思われるYouTubeアカウントを特定しています。
YouTube名がバハサ語(インドネシア・マレーシアで用いるマレー語の方言)である点、開設日が2023年4月19日である点が判明しています。
YouTube上では、マルウェアのデモ動画を掲載している点からも、アクターはマルウェアに関する情報保有者である点が推測可能です。
Big Headは、標準的な暗号化手法を用いており検出回避技術もさほど巧妙ではない点から、高度な技術ではないとされています。しかし、これまでに最低でも2種類の亜種が報告されている点を見ると、アクターの開発は継続していると考えられるでしょう。
現段階においては高度の技術を有しておらず、検出されやすいものですが、今後はどうなるかはわかりません。特に、企業ではなく個人・消費者をターゲットにしている点では、注意を怠ってはいけないものといえるでしょう。
また、近年のリモートワーク推進の動きから、企業でもデバイスを各家庭に持ち帰るシーンは増えています。そうなると、エンドポイントのセキュリティを徹底するのが個人の裁量となるので、なお一層の注意が必要です。
Big Headは現在、亜種含め3種類のサンプルが検出されています。
・Ransom.MSIL.EGOGEN.THEBBBC
・Ransom.MSIL.EGOGEN.THEABBC
・Ransom.MSIL.EGOGEN.YXDEL
上記の3つのサンプルは、いずれもWindowsアップデートあるいはWordインストーラを表示させるマルバダイジングのようです。
では、それぞれのサンプルの特徴や挙動について見ていきましょう。
Ransom.MSIL.EGOGEN.THEBBBCは、.NETにコンパイルされたバイナリファイルにおいて、
・1.exe
・Archive.exe
・Xarch.exe
といったAES暗号化されたファイルの投下が行われます。
上記サンプルは、Windowsに搭載されているシャドウコピーを暗号化前に削除し、感染者側でシステム復元の操作を防ぐのが特徴です。
また、標的システムが独立国家共同体(CIS)に属する国の言語であった場合、暗号化のプロセスはされません。
標的システムに問題ない場合、暗号化が進みますが、実施されている最中はWindowsアップデート画面を表示させ、動作を隠蔽します。
暗号化が完了すると同時に、Big Headから身代金を要求する旨の通知(ランサムノート)が複数のディレクトリに投下されます。
Ransom.MSIL.EGOGEN.THEABBCはBig Headの亜種であり、先ほどのRansom.MSIL.EGOGEN.THEBBBCに加えて情報窃取マルウェアとしての挙動も示しているのが特徴です。
基本的には、runyes.Crypter.batとazz1.exeがランサムウェアとしての挙動で、Server.exeが情報窃取をするといった動きを見せます。
・ブラウザ履歴
・ディレクトリリスト
・起動中プロセス
・プロダクトキー
・アクティブなネットワーク
・インストール済みドライバ
上記の情報を窃取しつつも、スクリーンショット撮影の機能も持っているため、より危険度が高い点が従来のBig Headと異なる点です。
Ransom.MSIL.EGOGEN.THEABBCも暗号化完了後は、Big Headから身代金を要求する旨の通知が投下されます。
Ransom.MSIL.EGOGEN.YXDELは、ファイル感染型のマルウェアである「Neshta」を組み込んでいる点が、他のサンプルとは異なる点です。
Neshtaを組み込んだ目的は不明であるものの、トレンドマイクロ社では、検出ソフト回避の戦術として使用した可能性を示唆しています。
また、第一サンプル・第二サンプルとは異なる壁紙・ランサムノートが表示される点も特長です。
Big Headを筆頭に、今後開発されるマルウェアに感染しないためには、以下の対策が必要です。
・セキュリティツール・ソフトの導入は徹底する
・マルウェア・ランサムウェアの最新情報を常に把握しておく
・不要なアプリ・ソフトをインストールしない
・不審なメールやファイル、Webサイトは開かない
では、それぞれの対策について詳しく見ていきましょう。
企業だけでなく個人が利用するデバイス・ネットワークにおいてもセキュリティツール・ソフトの導入は徹底しておくべきでしょう。
先ほども触れましたが、近年ではリモートワークも増え、オフィス以外でも業務を行う機会が増えました。
上記に伴い、エンドポイントのセキュリティ意識は企業から個人へと移りつつあるので、それぞれがマルウェア感染に対して予防意識を持つ必要があります。
能動的にマルウェア・ランサムウェアの最新情報を把握するのも、効果的な対策の1つです。
Big Headのように、WindowsアップデートやWordインストーラが表示されるのが分かっていれば、すぐにマルウェア・ランサムウェアの脅威を察知できます。
マルウェアは巧妙にデバイス・ネットワークに入り込むため、少しでも不審な挙動を察知し、感染拡大を未然に防ぐ知識も必要です。
今回のBig Headをはじめとして、今後もマルウェアに関する最新情報を把握しておくようにしましょう。
インストール画面を表示させるマルウェアは、Big Headだけではないので、不要なアプリ・ソフトのインストールは極力しないのが適切です。中には、アプリをインストールしたことをきっかけにウィルスや情報窃取プログラムが作動するマルウェアもあります。
また、多くのマルウェアは緊急性を訴え、ターゲットなるユーザーの思考力・判断力を鈍らせます。そのため、まずは不要なアプリ・ソフトのインストールはせず、緊急性のある画面が表示された場合は、すぐに行動をせずに、マルウェアを疑いましょう。
コンピュータウィルスやワームは、メールやファイルおよびWebサイトなど、侵入経路が多彩です。特に近年では、大手企業を装ったフィッシングメールが多く出回っており、気付いた頃には被害が出た後だったというケースも珍しくありません。
また、取引先企業がハッキングされた状態で、ウイルスを含んだメールが送信された場合は、不審性もなく防ぎようがないでしょう。
上記のような特殊なケースはのぞき、身に覚えのないメールやファイル、Webサイトは開かないのが1番です。もし、開いていいかわからない場合は、情シス担当やセキュリティ部門へ相談しましょう。
今回は、新型マルウェア「Big Head」について、確認されている亜種とマルウェア感染を防ぐための対策について解説しました。Big Headは現状で高度な技術ではないものの、開発が続けられている証拠があるので、今後も注意が必要です。
また、Big Headに限らず、マルウェア感染の症状については、常に最新情報を把握しておくべきでしょう。
ぜひ、本記事を参考にしてBig Headの情報を理解しつつ、マルウェアに対する知識・対策を理解してください。
