2016年2月14日から2月17日にかけて、メールを利用した「ばらまき型」攻撃による広範囲でのキャンペーンと見られる兆候がいくつか確認されました。この影響により、弊社のサポートセンターへのご相談も増加しています。

その後の調査において、従来からの手法として用いられる「請求書」を偽装したメールをばらまいており、このメールに付与された添付ファイルを開くことで、ランサムウェア（※）をさらにダウンロードして実行させる仕組みを持っていました。この手口そのものは、2015年12月に案内した「ばらまき型メールによるランサムウェア感染が国内で増加中」とほぼ同じですが、今回ダウンロードされるランサムウェアは、「Locky」ランサムウェアと呼ばれる新しいタイプのものであることが分かりました。

今回の感染に至るまでの主なフロー

※ランサムウェアとは、文書などのデータを暗号化して開けない状態にし、復号化するために身代金を要求する特徴を持ちます。

最初のダウンローダーとなるメールに添付されたMicrosoft Word形式ファイルには、MSO形式でのマクロが埋め込まれており、この実行からMIMEデコードで展開された4つのファイルによって、次のマルウェアのダウンロードが行われていることが解析によって分かりました。

このマルウェアですが、ESETでは「VBA/TrojanDownloader.Agent.ASL」として検出対応したところ、現在（2016年2月17日15:00時点）最も多くの検知率を出す状況となっております。

国別によるVBA/TrojanDownloader.Agent.ASLの検出状況（2016年2月17日15:00時点）

この検出マップで上位となる国は、検出された量が多くなると緑色から赤色に近づきます。それを数値にしたものが以下の表になります。国別で見てもESET製品で検知されたマルウェアの約3～5件の内1件は、当マルウェアを検出しており、いかに幅広く大量にばらまかれたものか確認ができます。

※本数値の見方は、各国ごとに検出されたマルウェア全体の内、VBA/TrojanDownloader.Agent.ASLが占めた割合になります。

なお、これらの統計は、ESET社VIRUSRADARより、確認することができます。

次に、最初の手口のVBA/TrojanDownloader.Agent.ASLによってダウンロードされた「Locky」ランサムウェアは、以下の特徴を持っていました。

• 日本語文書による身代金要求文書がフォルダごとに生成される
• デスクトップ背景に同様の要求文書が差し替えされる
• ユーザのデータは暗号化した上で拡張子を「.locky」に書き換えされる

このランサムウェアは、FileCoder.Lockyと呼ばれる新しいタイプです。実際に感染してエクスプローラ等で参照すると、以下のような状態になります。

「Locky」ランサムウェア感染後に暗号化されたファイルの状態（エクスプローラで参照）

また、過去の取り上げたランサムウェアと同様に以下のような身代金要求文書が確認されます。

ランサムウェア感染により作成される身代金要求文書

ランサムウェア感染によりデスクトップ背景が差し替えされた状況

フォルダごとに生成される身代金要求文書のテキストファイルの内容

今後も亜種によるメール攻撃が継続されると思われますので、メールの取り扱いにご注意ください。また、万が一ランサムウェアの感染に備え、重要なデータは定期的にバックアップを取るなどの対策を講じてください。

なお、このウイルスは、ESET製品にて以下の通り検出されます。