「お客様のファイルをCrypt0L0ckerウイルスによって暗号化しました」という日本語のメッセージを表示して身代金を要求するランサムウェアが国内で検出されているとして、セキュリティ企業各社が注意を呼びかけている。
ランサムウェアとは、パソコンを使用できないようにロックし、復旧と引き換えに金銭を要求する身代金要求型のウイルス(マルウェア)のこと。今回、注意が呼びかけられているのは、2014年に欧米で被害をもたらしていたランサムウェア「TorrentLocker」の亜種で、感染すると、日本語または韓国語、英語で脅迫メッセージが表示される。感染端末の環境を読み取って、それぞれに応じた言語のメッセージを表示する「多言語対応」のランサムウェアだ。
過去にも日本語で脅迫文を表示するランサムウェアはあったが、今回のランサムウェアがこれまでのものと違うのは、多言語に対応していながら、機械翻訳したようなたどたどしい日本語ではなく、まともなメッセージを表示する点。これまで欧米各国のユーザーを標的としてきた攻撃者が、日本に目をつけ、本格的に攻撃を開始した可能性があるのだ。
■元に戻せない危険が、活発化・拡散する恐れ
トレンドマイクロは4月27日付のブログで、このランサムウェアを確認してから1週間で60件以上を検出したと公表。さらに、「2年前にネットバンキングを狙うオンライン銀行詐欺ツールがそうだったように、今後は国内外の攻撃者による日本を標的としたランサムウェアの動きが活発化する危険性を無視できなくなってきたものと言える」としている。
シマンテックは4月23日付のブログで、「かつては言語が侵入に対する障壁となっていたが、もはやそうではなくなっている」と指摘したうえで、「世界で観測されている一般的なランサムウェア攻撃と比較すると、この攻撃活動は限られた範囲に留まっているが、この亜種はまだ登場から間がなく、いつか他のランサムウェアに匹敵するほど拡散する恐れは十分にある」としている。
なお、このランサムウェアは自ら「Crypt0L0cker」と名乗っているが、「CryptoLocker」とは別物。“o”であるべきところが“0”ゼロになっている。CryptoLockerもランサムウェアで、こちらについては暗号化されたファイルを元に戻すサービスがセキュリティ企業から提供されているが、今回の「Crypt0L0cker」による被害には対応していない。
■ユーザーにできる対策
「Crypt0L0cker」は、ファイルを元に戻すには支払いが必要だと脅しているが、支払ってもファイルが元に戻る保障はない。感染を予防することと、万が一感染してしまった場合に備えてバックアップを取っておくことが大切だ。
ランサムウェアをはじめとするコンピュータウイルスの感染には、主に知らない間に不正なプログラムが実行されてしまうケースと、だまされたユーザーが自ら実行してしまうケースの2通りがある。
・知らない間に不正なプログラムが実行されてしまうケース
OSやブラウザのプラグインなどを常に最新の状態にしておくことによって、その大半を回避することがきる。詳しくは、下記のトピックスを参照していただきたい。
・だまされたユーザーが自ら実行してしまうケース
ユーザー自身の注意で大半を回避できる。間違いないと確信できるもの以外は実行せず、キャンセルするよう心がけるのが原則だ。
バックアップについては、下記のトピックスを参照していただきたい。なお、外付けハードディスクドライブにバックアップを保存する場合は、バックアップ作業が終わったら外付けディスクをパソコンから外しておこう。ランサムウェアに感染した場合、パソコンに接続されている外付けディスクにも感染がおよび、バックアップファイルもロックされてしまうおそれがあるからだ。
(2015/05/12 ネットセキュリティニュース)
【関連URL】
・日本語対応したCryptoランサムウェアを国内で確認(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/11378
・ランサムウェアによる攻撃が極東地域でも拡大(シマンテック)
http://www.symantec.com/connect/node/3405081
・身代金要求文書が日本語化されたランサムウェア「TorrentLocker」亜種を確認(キヤノンITソリューションズ)
http://canon-its.jp/eset/malware_info/news/150423_3/
・身代金ウイルス「Crypt0L0cker」にご注意ください(ソースネクスト)
http://www.sourcenext.info/sec_info_150424.html