ランサムウェアに感染させる4種の日本語スパムメールの特徴まとめ、共通のサイバー犯罪者によるものか～トレンドマイクロ

　トレンドマイクロ株式会社は、10月以降に確認されているランサムウェアを頒布する4種類の日本語のスパムメールについて、詳細をブログで報告している。

　4種類の日本語スパムメールは、いずれも海外の匿名フリーメールサービス「SIGAINT」が送信元となる。現時点で確認されているのは、1）10月2日以降に確認されている、件名に「システム改修のお知らせとご協力のお願い」の文字列を含むもの、2）10月27日以降に確認されている、件名に「【受任のお知らせ】」の文字列を含むもの。いずれもファイルは添付されていないが、1つ目は修正パッチの名目で、2つ目は法律事務所からの文書をうたい、メール本文に記載されたURLから、海外のクラウドストレージサービス「MEGA」より、前者はランサムウェア「STAMPADO」、後者は「MISCHA」をダウンロードさせる。

　さらに、3）10月31日以降に確認されており、件名が「【重要】総務省共同プロジェクト　インターネットバンキングに係るマルウェアへの感染者に対する注意喚起及び除去ツールの配布について」で、一般社団法人ICT-ISACをかたるもの。4）11月5日以降に確認されている、件名が「【重要】総務省共同プロジェクト コンピューターウィルスの感染者に対する注意喚起及び除去ツールの配布について」で、NTTコミュニケーションズ株式会社（NTT Com）をかたるものがある。

　この2つのスパムメールは、配布団体の表記を除いてほぼ同内容とのこと。いずれも2つのPDFファイルが格納されたZIPファイルが添付されており、ウイルス対策ソフトや「Windows Defender」を無効化させる手順を記載したPDFファイルの内容や、ウイルス除去ツールをうたってPDFファイル記載のURLから「MEGA」にアクセスさせ、ランサムウェアをダウンロードさせる点が共通している。前者は「MISCHA」、後者は「STAMPADO」をダウンロードさせる。

　STAMPADOは5月に、MISCHAは7月に登場した新種で、いずれも9月まで国内での発見例はなかったもの。いずれも裏市場で、ランサムウェアの購入者が得た身代金のうち何割かを提供者が受け取る契約形態である「RaaS（Ransomware as a Service）型」として、比較的安価に販売されているものだ。2つ目のメールと3つ目のメールがダウンロードを促すMISCHAの検体は、同一のハッシュだったという。

　STAMPADOは、暗号化型ランサムウェア亜種である「JIGSAW」を模倣したもので、AES方式でファイルを暗号化する。感染したPCのユーザーに身代金を払わせるため、身代金支払い期限の6時間が経過した後、1時間に1ファイルをランダムに削除していくのも特徴となる。

　一方のMISCHAは、HDDのMFT（マスターファイルテーブル）を暗号化するランサムウェア「PETYA」を元に、Windowsのユーザーアカウント制御機能で「いいえ」を選んだ際にも、許可を必要としないファイルを暗号化して身代金を要求するものとなる。

　トレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network（SPN）」での統計では、いずれのスパムメールも数十通レベルが検出されるにとどまり、規模としては小さいとのこと。ただし、一連の日本語メールには、メール自体の内容や、これまでの傾向と異なるランサムウェアを利用していることなど、多くの共通点があることから、共通のサイバー犯罪者（グループ）が日本を標的として新たに活動を開始した可能性が高いとしている。また、日本語がある程度堪能で、国内特有の事情も理解するメンバーが含まれると推測している。