ニュース
画像で見る身代金要求サイト、ランサムウェア「Locky」感染で0.5ビットコイン要求
2018年1月29日 17:08
キヤノンITソリューションズ株式会社が、2017年12月のマルウェア検出レポートを発表した。同社が国内販売するセキュリティソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データを基に分析したもの。バンキングマルウェアの感染をもくろんだメールの文面や添付ファイル、実際にランサムウェアに感染した際に表示される画面や身代金要求サイトの画面もあわせて紹介している。
レポートによると、12月はVBS(VBScript)形式のダウンローダーとVBA(Visual Basic for Applications)形式のダウンローダーを数多く検出。ダウンローダーがダウンロードするマルウェアは、実行環境や時期によって変化がみられるが、12月はバンキングマルウェアとランサムウェアをダウンロードするタイプが数多く確認されたとしている。
バンキングマルウェアをダウンロードするものとしては、VBA形式のダウンローダー「VBA/TrojanDownloader.Agent」が12月上旬~中旬に数多く検出された。検出数における日本の割合は41.40%で、2番目以降のイタリアの8.48%やドイツの3.56%と比べて非常に高い。このため、日本在住者をターゲットにしていることが考えられるという。
VBA/TrojanDownloader.Agentは、インターネットバンキングを狙うマルウェア「Win32/Spy.Ursnif」の亜種(別名「DreamBot」)をダウンロードすることが確認されている。Win32/Spy.Ursnifは、インターネットバンキングサイトの認証情報(ユーザーID、パスワードなど)やクレジットカード情報を窃取。感染すると、銀行口座からの不正送金やクレジットカードの不正利用などの被害に遭う可能性がある。
なお、VBA/TrojanDownloader.Agentの主な感染経路はメールだという。実際に存在する企業のサービスを装ったものも確認されているとし、キヤノンITソリューションズでは「身に覚えのない不審なメールの添付ファイルやURLリンクは絶対に開かないで」と注意を呼び掛けるとともに、VBA/TrojanDownloader.Agentが添付されているメールの例として、件名が「お振込頂きます」といったメールや、添付されているファイルをExcelで開いた「ご請求書」といった画面を紹介している。
また、12月には、ランサムウェアのダウンローダー「JS/TrojanDownloader.Nemucod」「VBS/TrojanDownloader.Agent」も数多く検出された。特徴は、.7z形式で圧縮されている点だ。広く利用されている.zip形式で圧縮されたファイルは、ゲートウェイのスパムメールフィルターなどでブロックされる可能性が高いため、この検知を回避するために.7z形式を使っているものとみている。
ダウンロードされるランサムウェアは「Win32/Filecoder.Locky」と「Win32/Filecoder.FV」(別名「GlobeImposter」)が確認されている。
Win32/Filecoder.Lockyに感染すると特定の拡張子のファイルが暗号化され、拡張子が「.asasin」に変更されるとともに、身代金要求文書を表示。ファイルを復号する条件として金銭の支払いを要求する。そこに記載されているURLにアクセスすると支払いサイトが表示され、復号ツール「Locky Decryptor」の販売という名目で身代金を要求する。要求額は0.5ビットコイン(1月23日現在、日本円でおよそ60万円)。なお、支払いサイトはさまざまな言語に対応しており、感染端末が日本語版Windowsだった場合、日本語で支払い方法が表示されるという。
一方、Win32/Filecoder.FVに感染すると、PC上のファイルが暗号化され、拡張子は「.doc」に変更される。
キヤノンITソリューションズでは、2017年は1年間を通してランサムウェアが数多く確認されたとし、2018年も引き続き警戒が必要だと指摘。「万が一ランサムウェアに感染した場合に備えて、日頃からバックアップを取っておくことを推奨する」としている。