Mimicランサムウェア:Contiのコードを悪用した新たな脅威

Mimicランサムウェア:Contiのコードを悪用した新たな脅威

セキュリティを高めたい

先生、「Mimic」って、どんなものですか?情報セキュリティの勉強をしていて出てきたのですが、よくわかりません。

情報セキュリティ専門家

「Mimic」は、人のパソコンに入り込んでデータを勝手に暗号化して、元に戻すのと引き換えにお金を要求する、いわゆる「身代金ウイルス」の一種です。2022年頃から出始めて、だんだん広まっているようです。

セキュリティを高めたい

データを勝手に暗号化してしまうウイルスなんですね!どうやってパソコンに侵入してくるんですか?

情報セキュリティ専門家

「Mimic」は、主にメールに添付されたファイルを開くことで感染するケースが多いようです。そのため、知らない人からのメールや、怪しい添付ファイルは開かないようにすることが大切ですよ。

Mimicとは。

「ミミック」という言葉を、情報を守るための話の中で耳にしたことがあるかもしれません。ミミックは、2022年の6月頃から悪さをしている悪いプログラムです。このプログラムを調べた会社によると、ミミックの一部分は、2022年にこっそり公開されたコンティという別の悪いプログラムの仕組みを真似して作られています。ミミックは、怪しいメールにつけられたファイルを開くと、そこから忍び込んでくるようです。特に、多くの人が使っている「すべて」という名前の検索ツールの仕組みを悪用して、ファイルの数を数えたり、ファイルを勝手に暗号化したりします。さらに、邪魔な防御壁をすり抜けたり、守ってくれる機能を無効にしたりと、あの手この手で悪事を働きます。2024年の1月には、トルコの人たちとつながりのある悪いグループが、ミミックを使って攻撃をしかけてきたことも報告されています。

Mimicランサムウェアの概要

Mimicランサムウェアの概要

– Mimicランサムウェアの概要Mimicは、2022年6月から活動を始めた、比較的新しいランサムウェアです。ランサムウェアは、感染したコンピューター上のファイルを暗号化し、その復号と引き換えに金銭を要求する悪意のあるソフトウェアの一種です。Mimicは、その名の通り、他のランサムウェアの特徴を模倣している可能性があります。実際に、セキュリティ企業TrendMicroの調査によると、Mimicのプログラムの一部は、2022年に外部に漏れてしまったContiランサムウェアのプログラムを流用していることが明らかになっています。Contiは、世界中の組織に対して大規模な攻撃を仕掛けていた、悪名高いランサムウェアです。そのContiのプログラムがMimicに利用されているという事実は、Mimicの脅威の深刻さを如実に物語っています。Mimicは、標的とする組織や企業のシステムに侵入すると、そのシステム内のファイルを暗号化します。暗号化されると、ファイルは利用できなくなります。Mimicは、暗号化されたファイルを復元する鍵と引き換えに、身代金を要求してきます。身代金の要求は、通常、暗号化されたファイルに表示される脅迫状を通じて行われます。脅迫状には、身代金の支払い方法や、連絡先などの情報が含まれています。Mimicは、まだ新しいランサムウェアであるため、その全体像は明らかになっていません。しかし、Contiランサムウェアのプログラムを流用しているという事実から、その脅威は深刻なものと捉えるべきです。今後、Mimicによる攻撃がさらに増加する可能性も考えられます。そのため、Mimicの脅威について認識を深め、適切な対策を講じることが重要です。

項目 内容
ランサムウェア名 Mimic
活動開始時期 2022年6月
特徴 他のランサムウェアの特徴を模倣
Contiランサムウェアのプログラムを流用
攻撃手法 標的のシステムに侵入し、ファイルを暗号化
暗号化されたファイルの復号と引き換えに身代金を要求
脅威レベル 深刻(Contiのプログラム流用のため)
今後の攻撃増加の可能性あり
対策 Mimicの脅威に関する認識を深め、適切な対策を講じる

感染経路

感染経路

– 感染経路

Mimicという身代金要求型ウイルスに感染する経路は、巧妙な偽装を施した電子メールを介したものが大半であると考えられています。攻撃者は、受信者を欺き、悪意のある添付ファイルを開かせることを目的とした、一見すると正規のものと区別がつかないような電子メールを送信します。

この添付ファイルには、Mimicを実行するためのプログラムが含まれており、開いてしまうと端末がウイルスに感染してしまいます。

電子メール以外にも、欠陥のある状態になっているウェブサイトを閲覧したり、悪意のある広告を誤ってクリックしたりすることでも、Mimicに感染する可能性があります。これらのウェブサイトや広告は、利用者をだましてMimicをダウンロードさせようと、あの手この手の方法で誘導してきます。

Mimicから端末を守るためには、不審な電子メールの添付ファイルは開かない、信頼できるウェブサイトだけを閲覧する、セキュリティ対策ソフトを導入するなど、日頃から対策を講じることが重要です。

感染経路 概要 対策
電子メール 一見正規のメールを装い、悪意のある添付ファイルを開かせることで感染を広げます。 不審なメールの添付ファイルは開かないでください。
欠陥のあるWebサイト 脆弱性を持つWebサイトを閲覧することで、Mimicがダウンロードされ感染する場合があります。 信頼できるWebサイトのみ閲覧してください。
悪意のある広告 クリックするとMimicをダウンロードさせるように仕組まれた広告が表示されることがあります。 怪しい広告はクリックしないでください。

Mimicの特徴的な機能

Mimicの特徴的な機能

– Mimicの特徴的な機能Mimicは、多くのパソコンに導入されているファイル検索ツール「Everything」の持つ、外部プログラムとの連携機能を不正に利用していることが確認されています。「Everything」は、パソコン内のファイルを高速で探し出すことができる便利なツールですが、Mimicはこのツールが備える連携機能を悪用し、効率的にファイルを探索し、暗号化を行います。Mimicはファイルの暗号化以外にも、Windowsに標準搭載されているセキュリティ機能を無効化する様々な機能を備えています。例えば、パソコンへの不正なアクセスを制限するユーザーアカウント制御(UAC)をすり抜ける機能や、ウイルスなどの脅威からパソコンを守るWindows DefenderやWindows Telemetryを停止させる機能、さらに、万が一問題が発生した場合に備えるシステム復元機能を無効化する機能などが挙げられます。このようにMimicは、ファイルの暗号化だけでなく、セキュリティ対策を無効化することで、見つかりにくくすると同時に、システムへの侵入を成功させる可能性を高めているのです。

機能 詳細
ファイル検索ツールの悪用 Mimicは「Everything」の外部プログラム連携機能を悪用し、ファイルの探索と暗号化を行います。
セキュリティ機能の無効化 Windowsの標準セキュリティ機能(UAC、Windows Defender、Windows Telemetry、システム復元など)を無効化します。
目的 ファイルの暗号化とセキュリティ対策の無効化により、検出を回避し、システムへの侵入を容易にします。

最近の活動

最近の活動

– 最近の活動

2024年1月に入り、トルコを拠点とするハッカー集団が、「Mimic」と呼ばれるランサムウェアを用いて攻撃を仕掛けているという報告がありました。
この「Mimic」は、企業で広く利用されているデータベース管理システムである「Microsoft SQL Server」を標的にしています。

「Microsoft SQL Server」は、企業にとって重要な情報の保管や管理を行う上で欠かせないシステムです。
そのため、「Mimic」による攻撃は、企業活動に大きな影響を与える可能性があります。
例えば、顧客情報や売上情報などの機密情報が暗号化され、身代金を要求されるといった被害が考えられます。
また、システムが正常に動作しなくなることで、業務が停止に追い込まれる可能性も懸念されます。

今回の報告は、サイバー攻撃の手口がますます巧妙化し、重要なインフラや企業システムを狙った攻撃が増加していることを示す一例と言えるでしょう。

ランサムウェア 標的 被害
Mimic Microsoft SQL Server – 機密情報の暗号化と身代金要求
– システム障害による業務停止

対策

対策

– 対策

悪意のあるプログラム「Mimicランサムウェア」から自身のパソコンやデータを保護するためには、いくつかの効果的な対策を組み合わせることが重要です。

まず、電子メールに添付されたファイルや、メール本文に記載されたインターネット上のアドレス(URL)を不用意に開かないように心がけましょう。心当たりのない相手や組織からのメール、あるいは予期していなかった内容のメールが届いた場合には、特に注意が必要です。

次に、パソコンを安全に使い続けるために、OSやソフトウェアを常に最新の状態に保ち、公開されたセキュリティ更新プログラムを速やかに適用することが重要です。

さらに、万が一、Mimicランサムウェアに感染してしまった場合に備え、大切なデータは定期的に別の場所に複製を作り、保存しておくようにしましょう。こうすることで、感染したパソコン上からデータが消去されてしまった場合でも、複製したデータから復元することができます。

対策 詳細
不審なメールやURLを開かない 心当たりのない相手や組織からのメール、予期しない内容のメールに注意する。
OSやソフトウェアを最新の状態に保つ 公開されたセキュリティ更新プログラムを速やかに適用する。
定期的にデータのバックアップを取る 別の場所に複製を作り、保存しておくことで、感染時にもデータを復元できるようにする。