セキュリティ研究者が、ユーザーの Mac 上のファイルを暗号化しようとするランサムウェアプログラムの試みを検出し、大きな被害が出る前にブロックできる無料のセキュリティ ツールを作成した。
「RansomWhere?」と呼ばれるこのアプリケーションは、セキュリティ企業Synackの研究開発ディレクター、パトリック・ウォードル氏が開発したもので、信頼できないプロセスによるファイルの暗号化を検知・ブロックすることを目的としています。
このツールはユーザーのホームディレクトリを監視し、その中に暗号化されたファイルが急速に作成されたことを検出します。これはランサムウェアの活動の明らかな兆候です。
このようなアクティビティが検出されると、RansomWhere? は原因となっているプロセスを特定し、そのプロセスを停止します。正規の暗号化プログラムがランサムウェアとして検出される誤検知を防ぐため、RansomWhere? はAppleによって署名されたすべてのアプリケーションと、RansomWhere? が最初にインストールされた時点で既にコンピュータに存在しているアプリケーションのほとんどをホワイトリストに登録します。
つまり、このツールが期待通りに機能するには、ランサムウェアに感染していないコンピュータにインストールする必要があります。また、後からコンピュータに感染したランサムウェアプログラムがApple署名のアプリケーションを乗っ取ったり、コードを挿入したりしてファイルを暗号化したりした場合には、このツールは機能しません。
パトリック・ウォードル RansomWhere? アラートプロンプト。
RansomWhere? が暗号化プロセスを一時停止すると、ユーザーに処理を続行するか終了するかを選択するプロンプトが表示されます。これにより、ユーザーは自分がよく知っていて信頼している正規の暗号化プログラムをホワイトリストに登録できます。
RansomWhere? は、一般的に日和見的なランサムウェア攻撃をブロックするのに優れていますが、完璧な保護を提供するわけではなく、100 パーセントの検出率を主張しているわけでもありません。
まず、RansomWhere? のブロック機能は、ランサムウェアプログラムが数個のファイルを暗号化した後にのみ作動します。ただし、暗号化されたファイルの数は1桁程度である必要があります。
「RansomWhere? は、OS X ランサムウェアを汎用的に阻止するために設計されました」とウォードル氏はブログ投稿で述べています。「しかしながら、信頼性、シンプルさ、そしてスピードを重視するために、いくつかの設計上の選択が意図的に行われており、それが保護機能に影響を与える可能性があります。まず、セキュリティツールが提供する保護機能は、特定の標的を狙った場合、回避される可能性があることを理解することが重要です。つまり、RansomWhere? を回避できるように設計された新しい OS X ランサムウェアは、おそらく成功するでしょう。」
最近まで、ランサムウェア作成者はほぼWindowsコンピュータのみを標的としていましたが、状況は変わり始めています。LinuxベースのWebサーバーに感染するランサムウェアの亜種はすでに存在し、研究者たちはOS Xプラットフォームが影響を受ける可能性があることを示すため、OS X向けの概念実証ランサムウェアプログラムも作成しています。
2月、マルウェア研究者は、サイバー犯罪フォーラムでWindows版とMac版の両方が販売されている新しいランサムウェアプログラムを発見しました。そして3月には、MacユーザーがKeRangerの攻撃を受けました。これは、実環境で確認された初のOS Xランサムウェアです。
ランサムウェア作成者間の競争が激化するにつれ、多くのランサムウェア作成者が新たな標的を求めて他のプラットフォームへと進出することが予想されます。Macユーザーは間違いなく魅力的な標的です。
