年明け早々から、ボットネットを使ったマルウェアメールの拡散が続いている。添付ファイルを開くと、ファイルを暗号化して身代金の支払いを要求するランサムウェア「GandCrab(ガンクラブ)」に感染するおそれがある。
■ボットネットを使ってマルウェアメールを拡散
ボットネットとは、マルウェア(ウイルス)に感染させて乗っ取った多数のパソコンをネットワーク化したもので、外部から操り、さまざまなサイバー攻撃を仕掛ける。迷惑メールの配信もそのひとつだ。
・「バンキングマルウェア」感染を狙うタイプ
ボットネットを使い国内のユーザーに大量のマルウェアメールをばらまき続けているグループのひとつに、オンラインバンキングの不正送金に使われるバンキングマルウェアに感染させようとするタイプがある。実在する企業を装い、本物のメールのコピーを使うなどした巧みな日本語メールが特徴だ。日本サイバー犯罪対策センター(JC3)のWebサイトでも報告されているが、昨年12月28日の報告を最後にばらまきが休止している。
・「ランサムウェア」感染を狙うタイプ
もうひとつのタイプが、主にランサムウェアに感染させようとする今回のグループのマルウェアメールだ。ランサムウェアは、感染したパソコンのファイルを暗号化するなどしてシステムを人質に取り、復旧するために仮想通貨を要求するマルウェアのこと。
以前は、Locky(ロッキー)というランサムウェアが使われていたが、今年はGandCrabに変わったようだ。攻撃は、英文メールや添付ファイルのみのメールを送りつける雑なものだが、感染すると速攻でファイルの暗号化を始め、壊滅的な被害を巻き起こすので、くれぐれも注意していただきたい。
■ランサムウェア「GandCrab」の悪行と最新動向
GandCrabは、昨年見つかった新鋭のランサムウェアで、奈良県宇陀市の市立病院で昨年10月、電子カルテシステムの障害を引き起こしたのが、このGandCrabだったという。JPCERTコーディネーションセンター(JPCERT/CC)は、2018年12月11日付けの「マルウエアへの感染を誘導し、仮想通貨を要求する脅迫メールについて」で、GandCrabへの感染を誘導するセクストーション(性的脅迫)メールが海外で観測されたことを報告していたが、対岸の火事では済まなくなった。
・元日から始まった「英文顔文字」メールのばらまき
マルウェアメールのばらまきは、元日から始まった。ばらまかれたのは、件名が「:) :-) :D :D)」などの英文で使われる顔文字だけという不思議なメールだ。本文は無し、または顔文字だけで、IMG※_2018-JPG.zip(※は任意の数字)というファイルが添付されている。添付ファイルの中には、JScriptと呼ばれるWindows用のスクリプトファイル(実行プログラムの一種で拡張子は「.js」)が入っており、これを開く(実行する)と、外部からマルウェア本体をダウンロードし、Windowsパソコンがランサムウェア「GandCrab バージョン 5.0.4」に感染してしまう。
・復号ツールは未公開
GandCrabによって暗号化されたファイルの一部は、セキュリティ企業BitDefender(ビットディフェンダー)が配布している無料のツールで復号できるが、このバージョンのGandCrabに対応した復号ツールは、まだ公開されていない。
顔文字だけのマルウェアメールのばらまきは6日まで続き、8~9日にかけては、「I love you」や「My love letter for you」「Always thinking about you」などの件名のメールもばらまかれた。一日おいて11日も顔文字と「I Love You」などの件名でばらまかれており、これまでと同様、今後も断続的に続く可能性が高い。まともな日本語メールがばらまかれる可能性も否定できないので、メールの添付ファイルやリンクは、常に警戒していただきたい。
■感染しないために
安全であることが判明しているファイル以外は、むやみに開いてはいけない。何らかの警告が出た場合には、それ以上先には進まず作業を中止することを守っていただきたい。
(2019/01/11 ネットセキュリティニュース)
【関連URL】
・マルウエアへの感染を誘導し、仮想通貨を要求する脅迫メールについて(JPCERT/CC)
https://www.jpcert.or.jp/newsflash/2018121101.html
ランサムウエア対策特設サイト
https://www.jpcert.or.jp/magazine/security/nomore-ransom.html
・電子カルテシステムの障害発生について(お詫び)(宇陀市立病院)
https://www.city.uda.nara.jp/udacity-hp/oshirase/change-info/press-release.html