Email Security.cloud

Locky として知られるランサムウェアの新しい亜種（シマンテックでは Trojan.Cryptolocker.AF として検出されます）が、火曜日（2 月 16 日）に登場して以来、急激に広まっています。Locky を操る攻撃者がマルウェアの大々的な拡散に利用しているのは、大量のスパム活動と、危殆化した Web サイトです。

Locky は、被害者のコンピュータにあるファイルを暗号化し、.locky という拡張子を追加します。身代金の要求額は、0.5 ～ 1 ビットコイン（およそ 24,000 円 ～ 48,000 円）です。

感染の主な経路のひとつがスパムメール攻撃で、その多くは請求書に偽装しています。メールには、悪質なマクロを含む Word 文書が添付されており、シマンテックは、この悪質な添付ファイルを W97M.Downloader として検出します。このマクロの実行を許すと、コンピュータに Locky がインストールされてしまいます。

シマンテックの遠隔測定によると、Locky は 2 月 16 日、少なくとも 5 種類のスパム攻撃によって拡散されました。スパムメールの大半は、「ATTN: Invoice J-[RANDOM NUMBERS]（注意: 請求書 J-[ランダムな数字]）」という件名でしたが、「tracking documents（追跡資料）」という件名の攻撃も確認されました。

Locky を拡散しているスパム攻撃は、かなり大規模に展開されています。シマンテックのウイルス対策システムは、この攻撃に関連するメールを、昨日 2 月 17 日までだけでも 500 万通も遮断しました。

図 1. Locky の拡散に使われるスパムメールの例

Dridex と類似か
このスパム攻撃は、金融機関を狙うトロイの木馬 Dridex の拡散に使われている攻撃と、多くの点で類似しています。きわめて大規模な活動であること、請求書など金融系の文書に偽装すること、そして Word 文書の形で悪質なマクロを利用することは、いずれも Dridex グループの特徴です。そのため、Dridex グループの一部がランサムウェア攻撃に分派したのではないか、という推測も成り立ちます。

両者が類似している点は、スパム攻撃だけにとどまりません。自身をインストールするために利用される悪質な Word マクロでは、同じような不明瞭化の手法と、非標準の命名規則が用いられています。また、侵入先のコンピュータで ladybi.exe という名前のファイルを作る点も共通しており、ペイロードをダウンロードする際の URL で使われる名前構造も同じです。

• http://[DOMAIN NAME]/[ RANDOM HEXADECIMAL VALUE]/[RANDOM HEXADECIMAL VALUE].exe
• http://[ DOMAIN NAME]/[ RANDOM HEXADECIMAL VALUE]/[RANDOM HEXADECIMAL VALUE]

ただし、両者の攻撃の背後にいるのが同じグループであることを示す決定的な証拠はまだ見つかっていません。しかも、両者には大きい相違もあります。ダウンロードされた Locky ファイルは、Dridex の最近の亜種とはまったく異なります。Dridex は通常、暗号化された .jpg ファイルとしてダウンロードされますが、Locky は暗号化されていないからです。 

またシマンテックは、Locky が Neutrino ツールキットによって拡散されていることを確認していますが、今のところ Dridex が拡散にこのツールキットを使ったことはありません。

危険性の高い脅威
ランサムウェアの多くの亜種と同様、Locky も強力な暗号化を使っており、被害者のファイルは、万一バックアップを作成していなければ、完全に利用不能にします。一方、Locky にも一定の危険性があると考えています。攻撃者はリソースが潤沢で、ごく短期間の間に大々的にマルウェアを拡散してきたからです。そのため、個人消費者でも企業でも、セキュリティソフトウェアを定期的に更新していないと感染の確率が高くなります。

図 2. Locky が身代金を請求するメッセージの例

保護対策
メールボットネットの脅威を遮断できる Symantec Email Security.cloud、Web ベースの脅威を遮断する Symantec Web Gateway、Symantec Endpoint Security などで万全な保護対策を講じれば、以上の攻撃は防ぐことができます。

シマンテックとノートンの製品をお使いであれば、以下の検出定義で Locky から身を守ることができます。

ウイルス対策:

• Trojan.Cryptolocker.AF
• W97M.Downloader

侵入防止システム

• Web Attack: Neutrino Exploit Kit Redirect 2
• Web Attack: Neutrino Exploit Kit SWF Download
• Web Attack: Neutrino Exploit Kit Website 25
• Web Attack: Neutrino Exploit Kit Website 3
• Web Attack: Neutrino Exploit Kit Website 4
• Web Attack: Neutrino Exploit Kit Website 5

ランサムウェアから身を守るヒント

• コンピュータに保存しているファイルのバックアップを定期的に作成する。万一コンピュータがランサムウェアに感染した場合でも、マルウェアを駆除した後でファイルを復元できます。
• セキュリティソフトウェアは常に最新状態に保ち、マルウェアの新しい亜種に備える。
• オペレーティングシステムをはじめ、あらゆるソフトウェアを常に最新の状態に保つ。ソフトウェア更新には、新しく見つかったセキュリティ脆弱性に対するパッチが含まれていることが多く、攻撃者による悪用を防ぐことになります。
• 疑わしいメール、特にリンクが記載されていたり、ファイルが添付されていたりするメールを受信した場合には削除する。
• Microsoft Office 文書を添付したうえ、マクロを有効にして内容を確認するよう勧めてくるメールには、特に警戒する。信頼できる差出人から送信された正規のメールであることが絶対に確実な場合を除き、マクロはけっして有効にせず、そのままメールを削除してください。

参考資料
ランサムウェアによる脅威について詳しく知りたい方は、シマンテックのホワイトペーパー『The evolution of ransomware（ランサムウェアの進化）（英語）』をお読みください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

【参考訳】