全3051文字
PR

一般ユーザーは脅迫しない

 ドメインコントローラーとそれ以外で挙動が違うのもEkansの特徴だ。脅迫文はドメインコントローラーにだけ作成される。

 Ekansは感染したコンピューターがホンダの社内にあると分かると、次にそのコンピューターがドメインコントローラーかどうかをチェックする。ドメインコントローラーの場合はファイルを暗号化せず、デスクトップとCドライブ直下に脅迫文を記したテキストファイルを作成した(図6)。ただそのファイルを自動的に表示する仕組みはない。ユーザーが開かないと脅迫文を読めない。

図6●ドメインコントローラーとそれ以外で挙動を変える
図6●ドメインコントローラーとそれ以外で挙動を変える
Ekansは、ドメインコントローラーではファイルを暗号化せずデスクトップに脅迫文を作成する。一方それ以外のコンピューターではファイルを暗号化するが脅迫文は作成しない。
[画像のクリックで拡大表示]

 一方、ドメインコントローラー以外の場合は、ファイルを暗号化して脅迫文を作成しなかった。

 ドメインコントローラー以外で脅迫文を作成しないのは、金銭の支払いを決定する責任者ではない一般ユーザーに脅迫文を見せても効果がないと考えた可能性がある。攻撃者はドメインコントローラーに感染を広げる自信があったとみられる。

要求金額は書かれてなかった

 脅迫文には、次のような意味の英語の文面が並んでいた。

 「我々は企業ネットワークを突破して高度な暗号化方式でデータを暗号化した」「取り戻すには復号ツールを購入するしかない」「復号ツールの購入を希望する場合は記載しているメールアドレスに連絡しろ」「復号ツールで本当にファイルが元に戻るかどうかを疑っている場合は、メールに暗号化されたファイルを3つまで添付して送れば復号して返信する」

 他のランサムウエアに見られるような具体的な要求金額や支払い方法に関する内容は記述されていなかった。

 社内のドメインやIPアドレスをあらかじめ調べるなど、入念に下調べをして作成されたマルウエアはEkansだけではない。ホンダ以外の組織や企業でもこうしたマルウエアを使ったサイバー攻撃を受ける可能性がある。十分警戒してほしい。