トレンドマイクロは10日に公開した6月のマンスリーレポートで、海外で流通している「ランサムウェア」の感染報告が国内でも確認されたと発表した。ランサムは英語で「身代金」の意味で、ランサムウェアとはパソコン内に侵入してファイルやシステムの一部もしくはすべてを使用不能にし、その復旧と引き換えに金銭を要求するウイルスだ。
ランサムウェアには、デスクトップを乗っ取りパソコンを操作できなくするタイプ、MBR(マスターブートレコード)を書き換えてOSを起動できなくするタイプ、パソコン内のファイルを暗号化して開けなくしてしまうタイプなどがある。いわば、システムやファイルを人質に取られてしまうわけで、攻撃者は、人質解放のための身代金として金銭を要求する。指示どおりに支払えばロックを解除するためのキーを渡すとされているものの、実際にファイルやシステムを復旧できるという保証はない。
トレンドマイクロが感染を確認したのは、ファイルを開けなくするタイプのランサムウェアで、ユーザのパソコン内の特定のファイルに対し特殊な拡張子が追加され、暗号化が施されていた。ファイルを開くためには暗号化の解除が必要となる。このケースでは、ランサムウェア自身の中に暗号化を解除するキーが含まれていたが、海外で流行している別のランサムウェアの中には、暗号化を解除するキーをランサムウェア内に持っておらず、復号化を非常に困難にしているものもある。
ランサムウェアをめぐっては、6月に他のセキュリティベンダーも情報を公開して注意を呼びかけている。韓国のセキュリティベンダー、INCA Internetは、人気のオンラインゲーム「ディアブロ3」の名をかたったランサムウェアについて、ブログ(nProtect対応チーム公式ブログ)で報告した。海外の改ざんされたサイトを経由してばら撒かれているファイル“Diablo_III.exe”を実行すると、ドイツの著作権侵害追求協会「GVU」の警告を装った画面が表示され、パソコンを使用できなくなってしまう。
RSAも、6月に公開したマンスリーレポートでランサムウェアについて取り上げている。RSAが確認したあるランサムウェアは13か国語に対応しており、感染したパソコンの位置を確認し、その場所に合った言語を使って身代金要求のメッセージを表示する仕組みを持っていた。レポート公開時点で日本語は含まれていなかったが、RSAは、このランサムウェアが他の犯罪者に共有されたり、販売されたりすれば、今狙われている13か国に限らず、地球上のあらゆる国が狙われるかもしれないと警告している。
ランサムウェアは、Webサイトを経由してパソコンに入り込む。このため、他のウイルスへの対策と同様に、OSやソフトウェアのアップデートを欠かさないことと、Webページを閲覧中にブラウザーが何かをダウンロードしようとして警告が出たときに、安易にOKしないことが重要だ。信頼できるセキュリティ対策ソフトを、最新の状態にして使用することも役に立つ。
(2012/07/13 ネットセキュリティニュース)
【関連URL】
・インターネット脅威マンスリーレポート - 2012年上半期・6月度(トレンドマイクロ
http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20120706015002.html
・「注意」ディアブロ3ファイルに変装したランサムウェア(nProtect対応チーム公式ブログ)
http://jp-erteam.nprotect.com/104
・Monthly AFCC NEWS Vol.59[PDF](RSA)
http://www.rsa.com/japan/pdf/solutions/AFCC_news/AFCCNews_120630.pdf