So-net無料ブログ作成
検索選択

ランサムウェア感染を狙ったメール攻撃が頻発 [トラブルの予防]

ファイルを暗号化し、解除のための金銭を要求する「ランサムウェア」に感染させようとするメールが、22日から24日にかけて大量にばらまかれた。今月は、同種のキャンペーンが断続的に行われており、今週も昨夜からメールが舞い込んでいる。うっかり添付ファイルを開いてしまうと、大切な文書ファイルや画像ファイルが開けなくなってしまうかも知れない。

先週送られてきたのは、「Document 2」や「Image●●●.pdf」(●は十数桁の数字)といった件名のもので、拡張子が「.ZIP」のファイルが添付されている。どちらも差出人と宛先の両方が自分のメールアドレスになっており、後者は、自分のスマートフォンから送ったメールに見せかけていた。

 ほかにも、複合機からのメールに見せかけた「Message from KMBT_C224」や「Attached ●●●」(●●●はFile、Document、Picture、Imageなど)という件名のもの。ボイスメールに見せかけた「Voicemail from 07730881627 <07730881627> 00:00:24」という件名のもの。「Attached Document」「Attached document(s)」という件名のものなどが届いており、今週は、管理者(netadmin)を装った「Document (1).pdf」という件名のメールがばらまかれている。

 同種のメールは、今月に入ってから筆者のところにも頻繁に送られていたが、先週は特に数が多く、22~24日の3日間で140通ほどが迷惑メールフィルターに捕獲されていた。漏れなくブロックされていたので事なきを得たが、気付かずに開封していたらたいへんなことになっていたかもしれない。

■添付ファイルの開封は慎重に

 これらメールに添付されているZIPファイルは、ひとつまたは複数のファイルを圧縮してひとつのファイルにまとめたもので、Windowsでは「ZIP形式の圧縮フォルダー」と呼ばれている。このZIPファイルの中には、拡張子「.JS」のファイルが入っている。これが曲者で、このJSファイルを開いてしまうと、ファイルを暗号化して身代金を要求するランサムウェアのひとつ、「Locky」をインターネット上からダウンロードしてきて、システムに感染させてしまうそうだ(何をダウンロードさせるかは攻撃者次第)。

 ファイルをファイル名やアイコンだけで識別していると、感染を引き起こす実行型の危険なファイルをうっかり開いてしまう可能性が高い。特にZIPファイル内のファイルは、標準設定のWindowsで拡張子や種類が確認できないことが多いので要注意だ。確認できるように、表示設定を変更しておくことをおすすめする。詳しくは、2月25日付の記事『アイコンやファイル名に騙されないために―「拡張子」「種類」を表示する方法』を参照していただきたい。

■ZIPファイルの中身はランサムウェアのインストーラー

 ZIP圧縮フォルダーの中に入っている拡張子「.JS」のファイルは、ブラウザ内で実行するJavaScript互換の「JScript」と呼ばれるプログラミング言語で書かれたスクリプトで、Windowsが標準サポートしているWindows Script Host(WSH)がこれを実行する。WSHが実行するファイルには、「.JS」のほかに「,VBS」「.WSF」「.VBS」「.VBE」「.JSE」「.WSF」「.WSH」があり、これらも要注意ファイルだ。

 Windowsには、インターネットから取得したファイルを識別できるように、ファイルに「ZoneId」というマークを付ける機能がある。同社製をはじめとする主要なメールソフトやブラウザと、標準設定のWindowsの組み合わせであれば、ZIPファイル内のスクリプトを実行する際にZoneIdがチェックされ、必ずセキュリティの警告が表示される。そこで気付けば、実行を中止できるのだが、メールソフトやブラウザ、ZIPファイルの解凍ソフトのいずれかがZoneIdに対応していない場合には、スクリプトが警告なしで実行されてしまうので深刻だ。

 スクリプトが実行されると、外部から「Locky」本体をダウンロード/実行し、次の瞬間には、文書ファイルや画像ファイルなどが次々と暗号化されてしまう。暗号化されたファイルは、ファイル名が32桁の16進数に、拡張子が「.locky」に変更され、暗号を解除(復号)しない限り、二度と開くことはできない。

■日本語対応のランサムウェア「Locky」

 「Locky」は多国語に対応したランサムウェアで、日本語で「重要な情報」という脅迫文を表示し、有料の解除手続きを行わせようとする。指示に従って誘導先に行き「Locky Decrypter」というツールを購入すると、開けなくなったファイルが復元できるという。

 代金の支払いは仮想通貨ビットコインで、0.5BTC(約2万4千円)から。ユーザーがバックアップなどから自力でファイルを復旧できなければ、今のところは支払う以外に復旧できそうな手段はないようだ。ただし、支払っても必ずファイルが取り戻せるという保証はない。今年2月に感染被害にあった米ハリウッドの病院のように、支払うことで無事に復旧できたケースもあれば、2014年暮れに日本の少年が仕掛けたランサムウェアのように、解除手続きがうまく動作せず、復元できなくなってしまったケースもある。ファイルを取り戻せるかどうかは、試してみないとわからないのだ。

 ランサムウェアの流行に伴い、駆除や復旧をうたうソフトやサービスがネット上に散見されるようになった。これらもまた、信頼できるものかどうかは分からないので、くれぐれも注意していただきたい。役に立たないソフトや悪質なソフトを押し付けられたり、高額な請求が待っていたりするかもしれない。

 ランサムウェアの感染被害に巻き込まれないよう、「信頼できるメールや添付ファイル以外は開かない」「信頼できるサイト以外は閲覧しない」「システムやアプリを常に最新の状態にする」「ウイルス対策ソフトを導入する」などの基本的な感染予防対策で備えるとともに、万一の時に備えて、確実に復旧できる「バックアップ」を用意しておきたい。

(2016/03/29 セキュリティ通信)

【関連URL】
・不正送金マルウェアとランサムウェア感染を狙ったメール攻撃が集中して発生(キヤノンITソリューションズ)
http://canon-its.jp/eset/malware_info/news/160323/
・「TeslaCrypt」「Locky」ランサムウェアの感染を狙ったメール攻撃が一週間で20万件以上の検出を確認(キヤノンITソリューションズ)
http://canon-its.jp/eset/malware_info/news/160314/
・ランサムウェア Locky、被害者を狙う攻撃が激化(シマンテック)
http://www.symantec.com/connect/blogs/locky
・新たな多言語対応ランサムウェア「Locky」が国内でも拡散中(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/12894
・Hollywood Presbyterian Medical Centerのリリース[英文][PDF]
http://hollywoodpresbyterian.com/default/assets/File/20160217%20Memo%20from%20the%20CEO%20v2.pdf

【関連記事:セキュリティ通信】
・日本人が関与する日本語の「ランサムウェア」出現~被害拡大のおそれ
http://security-t.blog.so-net.ne.jp/2014-12-19
・身代金要求の「ランサムウェア」~Win版、Mac版、Android版それぞれの対策
http://security-t.blog.so-net.ne.jp/2016-03-18-2
・アイコンやファイル名に騙されないために―「拡張子」「種類」を表示する方法
http://security-t.blog.so-net.ne.jp/2016-02-25-2