今回は「ランサムウエア」に分類される不正プログラムを検証する。ランサムウエアは海外ではかなり以前からある不正プログラムの種類だが、まだ日本ではあまり馴染みがない。ランサム(ransom)とは身代金という意味を持つ英単語である。コンピュータやコンピュータ内のデータを「人質」にとって脅迫し、「身代金」を要求する活動を行う不正プログラムのことを特にランサムウエアと呼ぶ。具体的な「人質」をとる方法としては、コンピュータ自体をロックして操作不能にする、コンピュータ内のデータに暗号をかけてアクセスできなくするなどの活動が行われる。
今回検証するランサムウエアは、トレンドマイクロでは「TROJ_FAKEALE.BG」として検出するものだ。マイドキュメントフォルダ内の文章ファイルや画像ファイルを暗号化し、アクセス不能にする。海外ではこのTROJ_FAKEALE.BGが「VUNDO(ヴァンドー)」や「DOWNAD(ダウンアド)」などほかの不正プログラムによってインストールされるケースが2009年3月ころから確認されている。ここではVUNDOやDOWNADに代わって、手動でインストールされた状態を再現してみる。
VUNDOやDOWNADは複数あるTROJ_FAKEALE.BGのモジュールのうち、文章ファイルに暗号化を行うためのDLLモジュールをWindowsのシステムフォルダ(C:\Windows\system32)に任意のファイル名で作成し、実行する。TROJ_FAKEALE.BGは自身のファイルのフルパスをレジストリ内のAppInit_DLLの値として登録する。AppInit_DLLのレジストリはアプリケーション初期化用DLLの設定個所であり、ここに設定されたDLLはすべてのアプリケーションの実行時に読み込まれる。この設定によってTROJ_FAKEALE.BGの暗号化モジュールが自動的に実行される状態になるわけだ。
今回は、TROJ_FAKEALE.BGのファイルを「FakealeBG.DLL」のファイル名でコピーし実行した(図1)。また、暗号化されるマイドキュメントフォルダ内のファイルとして、これまでに書いた検証ラボの原稿ファイル(DocとPPT)をあらかじめコピーしておいた(図2)。
図3の表示はこの原稿をバイナリエディタとWordで開いた表示だ。上段はバイナリエディタで開いた内容で、冒頭の「ミマ.爍ア」という文字列(バイナリ「D0CF11E0A1B1」)がOffice文書ファイルを表すファイルヘッダ(Office 2007の場合は異なる)である。下段はWordで開いた画面であり、正常に文章が表示されている。
さて、ここからはシナリオを想定して検証を進めてみよう。締め切り直前の原稿を書いているコンピュータに実はDOWNADが進入しており、ユーザーの知らないうちにこのTROJ_FAKEALE.BGをインストールしてしまったとする。その状態でユーザーはWindowsを再起動し、続きを書くためにもう一度この原稿ファイルを開いてみた。すると、以下のエラーメッセージが表示され、ファイルがオープンできなかった(図4)。
