総務省をかたる日本語スパムで、マルウェア除去ツールを装ったランサムウェアに感染させる攻撃

　トレンドマイクロ株式会社は、ランサムウェアの拡散を目的とした、総務省をかたる日本語マルウェアスパムの流布を確認しているとして、注意を喚起している。

　マルウェアスパムの件名は、「【重要】総務省共同プロジェクト コンピューターウィルスの感染者に対する注意喚起及び除去ツールの配布について」で、トレンドマイクロが2016年10月31日に確認している。メールの送信元は、匿名ネットワーク「Tor」を利用する海外のフリーメールサービス「SIGAINT」で、送信者は秘匿されているという。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network（SPN）」の統計では、11月10日現在で日本国内で30件ほどしか確認されておらず、広範囲に流布されているものではない。

　しかし、同様の手口の日本語マルウェアスパムは、10月以降に繰り返し確認されている。トレンドマイクロによれば、日本語のマルウェアスパムの占める割合は、全体のわずか3％にすぎないが、こうしたマルウェアスパムは、ランサムウェアを使用するサイバー犯罪者が日本を標的にし始めたこと示す兆候だという。

　メールには、2つのPDFファイルが格納された圧縮ファイル（ZIP）が添付されている。うち1つは、「マルウェア（VAWTRAK）除去ツール設定ガイド」という名前で、タスクマネージャーですべてのプログラムを終了させた上、アンチウイルスを停止し、さらに、Windows Defenderも無効化することを促す内容となっている。

　マルウェア（VAWTRAK）除去ツールはメールには添付されておらず、「～設定ガイド」内に記載された海外クラウドストレージサービス「MEGA」のURLからダウンロードされる。このランサムウェアは、トレンドマイクロでは「Ransom_MISCHA.E」として検出されるもので、英語のマルウェアスパムにより現在大量に出回っているランサムウェア「LOCKY」ではないことが、このマルウェアスパムの特徴となっているという。

　トレンドマイクロでは対策の方法として、常に最新の脅威動向を知ることで、新たな手口にだまされないよう注意を払うことを挙げている。また、スパムメール対策、不正なサーバーへの接続ブロック、PC内部でのプログラムの挙動監視といった機能を備えた総合セキュリティ製品の導入や、別PCや外付けハードディスクなどへのファイルのバックアップも推奨している。

　なお、重要なバックアップについては、3つ以上のバックアップコピーを、可能なら2つの異なる書式で用意し、そのうちの1つをネットワークから隔離された場所に保管する「3-2-1ルール」によるバックアップが推奨されている。