ファイルやシステムを使えないようにロックし、ユーザーに解除料の支払いを求めるタイプのマルウェア(ウイルス)「ランサムウェア」の被害が、国内のユーザーの間に広がっている。ネット上では、これまでのWindowsパソコンに加えて、Android端末での被害も報告されている。
かつては言語の違いや決済手段の問題から、国内への影響が少なかったランサムウェアだが、日本語化や決済手段の普及、対応などが進んでおり、もはや対岸の火事ではすまされない状況になっている。ある日突然パソコンやスマートフォンが人質にとられ、身代金を要求される被害が国内でも現実に起きているのだ。
最近ネット上で話題になった、Windows版、Mac OS X版、Android版のランサムウェアをご紹介する。ウイルス感染対策と大切なデータのバックアップの二本立てで、万一に備えていただきたい。感染対策については、末尾の関連記事「ランサムウェア感染被害が増加傾向--データの定期的バックアップを」に詳しい。ただし、この記事で紹介している「バックアップ時の重要な留意事項」3点の履行には、市販のバックアップソフトが必須なので注意していただきたい。システムの標準機能や無料のソフトで行える範囲のバックアップついては、別の機会にご紹介する。
■Windowsを狙う「TeslaCrypt」「Locky」
ESETのセキュリティ製品を販売するキヤノンITソリューションズは今月14日、ランサムウェア「TeslaCrypt」と「Locky」の感染を狙った不審メールが、2日から9日にかけて20万件以上確認されたとして注意を呼びかけた。
「TeslaCrypt」は、昨年12月、国内での感染報告がネット上で拡散され話題になったもの。文書や画像などの特定の拡張子を持つファイルを暗号化し、暗号の解除(複合化)料を要求する。昨年末に話題になった時には、暗号化したファイルの拡張子が「.vvv」に変更されたことから「vvvウイルス」と呼ばれたが、拡張子には様々なバリエーションがある(直近は.mp3)。支払いを求める脅迫文は日本語に対応しておらず、支払いはビットコインだ。
「Locky」もまた、特定の種類のファイルを暗号化して人質にするタイプで、暗号化したファイルの拡張子が「.locky」に変更される。身代金の支払いは、「TeslaCrypt」と同様ビットコインだが、日本語を含む多国語に対応しており、感染パソコンに合わせた言語で脅迫文を表示する。
これらランサムウェアの拡散には、メールのほかにも改ざんされたサイトや広告経由で知らない間に感染してしまうドライブバイダウンロード、動画再生ソフトや更新ソフトなどの有用なソフトウェアに見せかけ、ユーザーをだまして実行させるやり方など、様々な手口があるので注意したい。
<関連URL>
・「TeslaCrypt」「Locky」ランサムウェアの感染を狙ったメール攻撃が一週間で20万件以上の検出を確認(キヤノンITソリューションズ)
http://canon-its.jp/eset/malware_info/news/160314/index.html
・新種ランサムウェア「Locky」の感染が国内で急増(キヤノンITソリューションズ)
http://canon-its.jp/eset/malware_info/news/160218/
・新たな多言語対応ランサムウェア「Locky」が国内でも拡散中(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/12894
・スパムで送信される新しいTeslaCryptランサムウェアに注意(マカフィー)
http://blogs.mcafee.jp/mcafeeblog/2016/02/post-4a82.html
■Mac OS Xを狙う「KeRanger」
ランサムウェアとは無縁だったMacにも、魔の手が及んでいたことが明らかになった。セキュリティ企業の Palo Alto Networksと、ファイル共有ソフト「BitTorrent」のクライアントソフトを開発しているTransmissionプロジェクトが今月7日、OS Xを狙うランサムウェア「KeRanger」の感染被害を発表した。
発表によると、Transmissionプロジェクトが配布していた「Transmission バージョン2.90」のインストーラーが、この「KeRanger」に汚染されており、実行すると3日後に特定の形式のファイルが暗号化されるという。日本語には対応しておらず、先のWindows版と同様の身代金をビットコインで支払うタイプだが、Mac版の登場が初めてだったうえ、回避が難しい正規ソフト経由の感染だったことから、日本国内でも注目を集めた。OS Xには、悪質なソフトのインストールを防ぐ「GateKeeper」という仕組みが備わっているが、今回はこの安全策も機能しなかったという。汚染されたTransmissionに正規の署名があったため、「Mac App Store」と確認済みの開発元からのものを許可する標準設定では、ブロックできなかったのだ。
<関連URL>
・Mac OS X を狙う暗号化型ランサムウェアを初確認(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/12984
・New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer[英文](Palo Alto Networks)
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
・Read Immediately!!!
https://www.transmissionbt.com/
・Transmission 2.92(2016/03/06)[英文](Transmission)
https://trac.transmissionbt.com/wiki/Changes#version-2.92
■Androidを狙う「Fusob」
先週からネット上で話題になっているのが、Android端末に感染するランサムウェアだ。「Fusob」「Locker」「SLocker」「PornLoc」などの名前が付けられたこのランサムウェアは、昨年から海外で流通していたもの。今回は、その日本語版の感染報告が相次いでおり、トレンドマイクロは16日、公式ブログで注意が呼びかけた(トレンドマイクロ名は「Locker」)。
「Fusob」は、端末を操作できないようにロックするタイプのランサムウェアで、何らかのアプリを装い、ユーザー自身にインストールさせる手口で感染を広げているらしい。感染すると端末に応じた言語でMINISTRY OF JUSTICE(法務局)を装う警告を表示し、支払い以外の操作ができないように端末をロック。解除するために罰金を支払うよう要求する。パソコン版のランサムウェアがビットコインで0.5~1BTC(約2万4千~4万8千円前後)の支払いを要求するのに対し、こちらは1万円(米ドル版は100ドル)のiTunesギフトカードのコードを要求する。
コンビニなどでも販売されている各種オンラインサービスのギフトカード(プリペイドカード)は、カードに記載されているコードを使用して額面の金額をチャージする仕組みになっている。コードを相手に伝えるだけで瞬時に現金の受け渡し相当の結果が得られるこの方法は、国内の各種詐欺でもしばしば用いられている。
感染した端末は、このギフトカードのコードを入力してロックを解除するまで、他の操作ができなくなってしまうのだが、端末をセーフモードで再起動するとアンインストールできたという投稿がいくつかあり、トレンドマイクロもその可能性を示唆している。アンインストールできないケースもあるらしいが、試してみる価値はありそうだ。
セーフモードは、余分なものをロードせず必要最小限のシステムを起動する機能。電源ボタンの長押しやメニューの長押しなど、通常とは異なる操作を行うのだが、操作方法は機種ごとに異なる。お使いの端末のマニュアルや販売店、製造元などで操作方法を確認していただきたい。
<関連URL>
・日本語表示に対応したモバイル版ランサムウェアを初確認、既に国内でも被害(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/13041
(2016/03/18 ネットセキュリティニュース)