ランサムウェアは日本でも特に目新しいものではありません。シマンテックの調査によると、世界のなかでも日本はランサムウェアの攻撃を多く受けている地域です。ただ、これまでは日本のユーザーを特に標的とした攻撃は確認されていませんでした。しかし、それも過去の話です。ここ数週間、日本のユーザーを狙って設計されたランサムウェアの亜種が活動していることが確認されています。
図 1. ランサムウェアによる攻撃件数の国別内訳(2014 年 11 月)
今回確認されたランサムウェアは、TorLocker のローカライズ版の亜種です。TorLocker は、侵入先のコンピュータ上で特定の拡張子が付いたファイルを暗号化し、ファイルを復号するために身代金を支払うよう要求します。このランサムウェアの日本語版の亜種が、複数確認されているのです。
TorLocker は世界中のランサムウェア攻撃で利用されています。アフィリエイトプログラムの一環として提供されており、プログラムの運営者は参加者に対して、カスタムのランサムウェアを作成するビルダー、感染を追跡する TorLocker コントロールパネルへのアクセス、マルウェアと連携して使用する各種ファイルを提供します。それに対して参加者は、攻撃で得た利益の一部を運営者に支払うのです。
感染
日本のユーザーを狙うローカライズ版の亜種による攻撃では、ブログのホストに広く使用されている Web サイトが侵害されていました。しかし、悪用キットをレンタルした攻撃者が、ソフトウェアの脆弱性を悪用して、自動的に標的のコンピュータに侵入した可能性もあります。最近の事例では、日本の出版社が所有するサイトが侵害され、Rig 悪用キットをホストする複数のドメインにトラフィックがリダイレクトされていました。この結果、最終的にペイロードとしてランサムウェアが投下されていた可能性があります。
11 月後半に発生した別の事例では、ブログサイトが侵害され、偽の Adobe Flash Player インストーラページが表示されました。
図 2. 偽の Adobe Flash Player インストーラページ
黄色のインストールボタンをクリックすると、プラグインをインストールするための設定ファイルをダウンロードして実行するよう求められます。しかし、このファイルのアイコンは、Flash Player のインストーラで通常使用されているものではなく、デジタル署名も付いていないため、インストーラは偽物だとわかります。
図 3. 偽の Flash Player ページからダウンロードされるインストーラのアイコン
設定ファイルを実行しても、Flash Player はインストールされません。代わりに、特定のファイルが暗号化され、コンピュータがロックされたことを伝える日本語のメッセージがポップアップウィンドウに表示されます。さらに、メッセージには、ファイルをアンロックするために身代金を支払うよう書かれています。要求される金額は、4 万円から 30 万円です。
図 4. 日本のユーザーを狙う TorLocker ランサムウェアの亜種によって表示されるポップアップウィンドウ
保護対策
日本ではもうすぐ、1 週間にわたる年末年始休暇を迎えます。長い休みの間には多くのユーザーがさまざまなサイトにアクセスするので、攻撃者にとっては絶好のチャンスです。ランサムウェアの感染を防止または低減するために、次の対策を講じることをお勧めします。
- お使いのコンピュータで、ソフトウェア、オペレーティングシステム、ブラウザのプラグインを最新の状態に更新して、攻撃者が既知の脆弱性を悪用するのを防ぐ。
- ノートン セキュリティなどの総合的なセキュリティソフトウェアを使用して、自分自身をサイバー犯罪から保護する。
- お使いのコンピュータ上に保存されているすべてのファイルを定期的にバックアップする。ランサムウェアに感染した場合でも、コンピュータからマルウェアを駆除した後にファイルを復元することができます。
- けっして身代金を支払わない。支払っても攻撃者が約束通りにファイルを復号してくれる保証はありません。
シマンテック製品およびノートン製品は、このブログで説明したランサムウェアのすべての亜種を Trojan.Cryptlocker として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。