Email Security.cloud

 View Only
Back to Library

VISA カードの特典や利点を騙るスパムで、ランサムウェア TeslaCrypt が拡散中 

Mar 02, 2016 07:54 PM

visa-rewards-ransomware-header.jpg

クレジットカードに関係するスパムは、毎日のように確認される典型的な詐欺メールのひとつです。受信したユーザーを欺いて、個人情報とクレジットカード番号を聞き出そうとするフィッシング攻撃の形もあれば、各種のオンライン詐欺に誘導しようとするタイプもあります。その反面、クレジットカードが関係するスパム活動にマルウェアが伴う例は、それほど一般的ではありません。ところが、シマンテックセキュリティレスポンスでは最近、VISA の特典や利点を騙って受信者を欺き、コンピュータにランサムウェアを侵入させるスパム活動が確認されています。

この活動で使われているメールは、Visa Total Rewards から送信されたと称して、VISA クレジットカードの利点を詳しく紹介します。添付されているアーカイブファイルはホワイトペーパーに偽装しており、Total Rewards で提供されるという特典や利点についての詳細が書かれていることになっています。この添付ファイルを開いても、実際に表示されるのは不明瞭化された JavaScript ファイルです(JS.Downloader として検出されます)。

figure1-email.png
図 1. 偽のホワイトペーパー(JS.Downloader を含むアーカイブファイル)が添付された悪質なスパム

受信したユーザーがこれを信じて JavaScript を開いてしまうと、スクリプトによってランサムウェア TeslaCrypt の亜種(Trojan.Cryptolocker.N として検出されます)が、指定された URL からダウンロードされ、実行されます。数分経つと、ユーザーのファイルがすべて暗号化されたこと、復号するにはビットコインでの支払いが必要であることを告げるメッセージが表示されます。

figure-2-tesla.png
図 2. JS.Downloader がランサムウェア TeslaCrypt をダウンロードし、被害者はファイルが暗号化されたと告げられる

さらに、被害者別にカスタマイズされた詳しい情報を示すホームページが表示され、暗号化されたファイルのロックを解除してほしければ、感染から 160 時間以内に 500 ドル(1.2 ビットコインに相当)を支払えと要求してきます。指定した時間以内に支払いを完了しないと請求金額が 2 倍の 1,000 ドルになるという説明もあり、支払いその他で困ったときのサポートとして、連絡フォームも用意されています。しかも、1 ファイルだけ無料で復号するオプションまでありますが、これはファイルの復号が間違いなく可能であることを示すためです。

figure3-pay.png
図 3. 被害者は、ファイルを復号してほしければ 160 時間以内に 500 ドル(1.2 BTC)を支払えと要求され、期限が過ぎると金額が 2 倍になる

スパムの大半は英語圏の国で拡散されており、英国(40%)と米国(36%)が上位を占めています。そのほかにも、世界中の各国が影響を受けています(図 4)。

figure4-pie-chart_JA.png
図 4. スパムの大半は、英国と米国に向けて送信されている

このスパム活動は、2 月 17 日には始まっており、現在も進行中です。シマンテックの遠隔測定によると、活動のピークはすでに過ぎたようですが(図 5 を参照)、TeslaCrypt の背後に潜む攻撃者は非常に活動的であることが知られているので、勢いを盛り返したとしても不思議ではありません。また、同じようなワナを使うスパムの活動も確認されているので、この手のメールを受け取ったときには十分に注意してください。添付されたアーカイブに JavaScript ファイルが入っていることは異例なので、そのようなファイルが添付されたメールには、特に警戒が必要です。

figure5-bar-chart_JA.png
図 5. Symantec Email Security.cloud で確認されたトラフィック

保護対策
メール経由の脅威を遮断できる Symantec Email Security.cloud、Web ベースの脅威を遮断する Symantec Web Security.cloudSymantec Endpoint Security などで万全な保護対策を講じれば、以上の攻撃は防ぐことができます。

シマンテックとノートンの製品をお使いであれば、この活動で使われているような脅威からは、以下の検出定義で保護されています。

ウイルス対策

ランサムウェアから身を守るヒント

  • コンピュータに保存しているファイルはすべて定期的にバックアップする。万一コンピュータがランサムウェアに感染した場合でも、マルウェアを駆除した後でファイルを復元できます。
  • セキュリティソフトウェアは常に最新状態に保ち、マルウェアの新しい亜種に備える。
  • オペレーティングシステムをはじめ、あらゆるソフトウェアを常に最新の状態に保つ。ソフトウェア更新には、新しく見つかったセキュリティ脆弱性に対するパッチが含まれていることが多く、攻撃者による悪用を防ぐことになります。
  • 疑わしいメール、特にリンクが記載されていたり、ファイルが添付されていたりするメールを受信した場合には削除する。

詳細な情報
ランサムウェアについて詳しくは、ホワイトペーパー『The evolution of ransomware(ランサムウェアの進化)』(英語)をご覧ください。ランサムウェアの現状について、総合的な調査結果をご報告しています。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

【参考訳】

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.