シマンテックは16日、日本人を標的としたランサムウェアが確認されたとして注意を呼びかけた。攻撃者は、さらなる改良を目論んでいるようで、被害の拡大が懸念される。
ランサムウェアとは、パソコンを使用できないようにロックし、復旧と引き換えに金銭を要求する身代金要求型のウイルス(マルウェア)のこと。海外で猛威をふるっていたランサムウェアのひとつが、国内の攻撃者の手によって日本語化され、先月下旬に改ざんされた国内のまとめブログ経由でばらまかれた。
■「Flash Player」アップデートに見せかけた感染攻撃
改ざんされたこのまとめブログをパソコンのブラウザで開くと、「お使いのAdobe Flash Playerのバージョンをアップデートしてください」とのメッセージが表示される。[OK]ボタンを押すと、「Flash Player」の公式ダウンロードサイトそっくりに作られた偽のサイトに誘導され、アップデートのつもりで[今すぐダウンロード]をクリックすると、Flash Playerのインストーラーに見せかけた「Setup.exe」がダウンロードされる。
セキュリティの警告を無視して、この「Setup.exe」を実行してしまうと、パソコン内のドキュメントファイルなどが暗号化され、パソコンをロックしたことを伝える日本語のメッセージが表示される。解除するためには、代金(4万~30万円)を支払ってパスワードを入手しなければならず、72時間以内に応じなければパスワードは入手できなくなると脅して来る。このメッセージには、一部のネットユーザーが誹謗中傷を続けている特定の弁護士事務所の連絡先などが記されており、嫌がらせの一環で行われた可能性がある。
■誰でも作れるランサムウェア「TorLocker」
シマンテックによれば、このランサムウェアは、アフィリエイトプログラムの一環として提供され、世界中のランサムウェア攻撃で利用されている「TorLocker」のローカライズ版だという。プログラムの参加者には、ランサムウェアをカスタマイズするツールなどが提供され、攻撃で得た利益の一部を運営者に支払う仕組みになっているのだそうだ。
同社は、このローカライズ版の攻撃に、ブログのホストに広く使用されているウェブサイトが悪用されたほか、国内の出版社のWebサイトが侵害された際、その誘導先で行われた脆弱性攻撃でも、このランサムウェアが投下されていた可能性があるとしている。攻撃者と見られる人物のTwitterには、「TorLocker」を入手してローカライズを行っている様子がつぶやかれているほか、今月6日に不正アクセスを受け、サーバーOSを入れ替えられてしまった「技術評論社」の事件への関与をほのめかす投稿もある。この辺りの事情から、同社は「可能性がある」と見ているのかもしれない。
■ランサムウェア対策
攻撃者と見られる人物は、今回話題になったことを喜んでいるようで、ランサムウェアのさらなる改良も行っているらしい。年の瀬の慌ただしい時期に大切なファイルを人質にとられないよう、くれぐれも注意していただきたい。ランサムウェアをはじめとするコンピュータウイルスの感染には、主に知らない間に不正なプログラムが実行されてしまうケースと、騙されたユーザーが自ら実行してしまうケースの2通りがある。
知らない間に不正なプログラムが実行されてしまうケース:OSやブラウザのプラグインなどを常に最新の状態にしておくことによって、その大半を回避することがきる。詳しくは、下記のトピックスを参照していただきたい。
騙されたユーザーが自ら実行してしまうケース:ユーザー自身の注意で大半を回避できる。間違いないと確信できるもの以外は実行せず、キャンセルするよう心がけるのが原則だ。先のFlash Playerのアップデートに見せかける事例なら、(1) アップデートは自分で公式サイトに行って行う。(2) 実行時に表示される「セキュリティの警告」で、発行元が「Adobe Systems Incorporated」であることを確認する。この2点に注意すれば、偽物を掴まされるようなことはない。
加えて、トラブルに備えたバックアップを行っていただきたい。バックアップがあれば、ランサムウェアに感染してシステムがロックされてしまった場合でも、システムの初期化とファイルの復元で、元の状態に戻すことができる。
(2014/12/19 ネットセキュリティニュース)
【関連記事】
・日本のユーザーを狙って設計された TorLocker ランサムウェアの亜種(シマンテック)
http://www.symantec.com/connect/blogs/torlocker
・弊社ホームページ改ざんに関するお詫びとご報告(技術評論社)
http://gihyo.jp/news/info/2014/12/0801