情報処理推進機構(IPA)が13日、ランサムウェア感染を狙う攻撃について注意を喚起したと昨日お伝えした。IPAには3月、ランサムウェアに感染したという相談が96件寄せられ、うち23件はAndroid端末に関する相談だったという。
これまで海外で広がっていたAndroid端末を狙うランサムウェアが国内に入り込んだことを、3月にトレンドマイクロが、4月にシマンテックが報告している。このランサムウェアの名称は、トレンドマイクロでは「AndroidOS_Locker」、シマンテックでは「Android.Lockdroid」と名付けられている。
愛知県警は、このランサムウェアの感染事例が県内で発生したことを受け、感染端末のキャプチャ画像とアンインストール方法を公開している(下欄参照)。
■Android端末狙うランサムウェア――ふるまいと感染経路
このランサムウェアに感染すると、端末がロックされて使用できなくなる。また端末上に「MINISTRY OF JUSTICE」(注:法務省)を名乗り身代金を要求する日本語のメッセージが表示される。ユーザーがこの端末で違法なことを行ったので法執行機関が端末をロックした、ロックを解除するためには、罰金1万円をiTunesギフトカードで支払うようにという内容だ。また、対面カメラを使い、ユーザーの顔写真を撮影する。撮った写真をIPアドレス、端末の製品番号、Androidのバージョン、ユーザー名などとともに端末上に表示し、身元を特定したかのように見せてユーザーを焦らせることが目的だ。
トレンドマイクロとシマンテックによると、感染経路としては、アダルト向けサイトからユーザー自身が手動でダウンロードしてしまう、アダルトサイトの広告などをクリックしたことにより自動的に侵入されてしまう、Google Play以外のネット上で「System Update」を偽って配布されている、などが考えられるという。
■感染してしまったら――セーフモード起動で削除の可能性も
感染してしまった場合は、端末をセーフモードで起動すると削除できる可能性がある。セーフモードは余分なものをロードせず必要最小限のシステムを起動する機能で、電源ボタンの長押しやメニューの長押しなど、機種ごとに起動の方法が異なる。この機会に、お使いの端末のマニュアルや販売店、製造元などで操作方法を確認しておくことをおすすめする。
なお、シマンテックの情報によると、インストールの途中でデバイス管理者機能を有効にしてしまった場合は、セーフモードで起動しても削除ができない。この場合、端末を復元するには工場出荷時の状態にリセットするしかないという。
(2016/04/19 ネットセキュリティニュース)
【関連URL】
・【注意喚起】ランサムウェア感染を狙った攻撃に注意(IPA)
https://www.ipa.go.jp/security/topics/alert280413.html
・日本語表示に対応したモバイル版ランサムウェアを初確認、既に国内でも被害(トレンドマイクロセキュリティブログ)
http://blog.trendmicro.co.jp/archives/13041
・Android を狙ってヨーロッパで広く拡散しているランサムウェアが日本に上陸(シマンテック公式ブログ)
http://www.symantec.com/connect/ja/blogs/android-32
・サイバー犯罪対策~Android版スマートフォン用身代金要求型ウイルス(ランサムウエア)について(愛知県警)
https://www.pref.aichi.jp/police/anzen/cyber/