2016年2月14日から2月17日にかけて、メールを利用した「ばらまき型」攻撃による広範囲でのキャンペーンと見られる兆候がいくつか確認されました。この影響により、弊社のサポートセンターへのご相談も増加しています。
その後の調査において、従来からの手法として用いられる「請求書」を偽装したメールをばらまいており、このメールに付与された添付ファイルを開くことで、ランサムウェア(※)をさらにダウンロードして実行させる仕組みを持っていました。この手口そのものは、2015年12月に案内した「ばらまき型メールによるランサムウェア感染が国内で増加中」とほぼ同じですが、今回ダウンロードされるランサムウェアは、「Locky」ランサムウェアと呼ばれる新しいタイプのものであることが分かりました。

今回の感染に至るまでの主なフロー
※ランサムウェアとは、文書などのデータを暗号化して開けない状態にし、復号化するために身代金を要求する特徴を持ちます。
最初のダウンローダーとなるメールに添付されたMicrosoft Word形式ファイルには、MSO形式でのマクロが埋め込まれており、この実行からMIMEデコードで展開された4つのファイルによって、次のマルウェアのダウンロードが行われていることが解析によって分かりました。
このマルウェアですが、ESETでは「VBA/TrojanDownloader.Agent.ASL」として検出対応したところ、現在(2016年2月17日15:00時点)最も多くの検知率を出す状況となっております。

国別によるVBA/TrojanDownloader.Agent.ASLの検出状況(2016年2月17日15:00時点)
この検出マップで上位となる国は、検出された量が多くなると緑色から赤色に近づきます。それを数値にしたものが以下の表になります。国別で見てもESET製品で検知されたマルウェアの約3~5件の内1件は、当マルウェアを検出しており、いかに幅広く大量にばらまかれたものか確認ができます。
ニュージーランド | 34.96% |
チェコ | 28.65% |
カナダ | 25.09% |
アイルランド | 24.82% |
フィンランド | 23.62% |
フランス | 21.77% |
日本 | 21.16% |
ノルウェー | 21.08% |
イギリス | 20.2% |
※本数値の見方は、各国ごとに検出されたマルウェア全体の内、VBA/TrojanDownloader.Agent.ASLが占めた割合になります。
なお、これらの統計は、ESET社VIRUSRADARより、確認することができます。
次に、最初の手口のVBA/TrojanDownloader.Agent.ASLによってダウンロードされた「Locky」ランサムウェアは、以下の特徴を持っていました。
- 日本語文書による身代金要求文書がフォルダごとに生成される
- デスクトップ背景に同様の要求文書が差し替えされる
- ユーザのデータは暗号化した上で拡張子を「.locky」に書き換えされる
このランサムウェアは、FileCoder.Lockyと呼ばれる新しいタイプです。実際に感染してエクスプローラ等で参照すると、以下のような状態になります。

「Locky」ランサムウェア感染後に暗号化されたファイルの状態(エクスプローラで参照)
また、過去の取り上げたランサムウェアと同様に以下のような身代金要求文書が確認されます。

ランサムウェア感染により作成される身代金要求文書

ランサムウェア感染によりデスクトップ背景が差し替えされた状況

フォルダごとに生成される身代金要求文書のテキストファイルの内容
今後も亜種によるメール攻撃が継続されると思われますので、メールの取り扱いにご注意ください。また、万が一ランサムウェアの感染に備え、重要なデータは定期的にバックアップを取るなどの対策を講じてください。
なお、このウイルスは、ESET製品にて以下の通り検出されます。
■ 対応しているウイルス定義データベースと検出名
2016年2月16日(日本時間)に配信されたウイルス定義データベースにて、下記の検出名で定義されました。
ウイルス定義データベース:13043 (20160216)
Win32/Filecoder.Locky.A トロイの木馬 Win32/Filecoder の亜種 トロイの木馬 Win32/Kriptik トロイの木馬 Win32/Injector の亜種 トロイの木馬 VBA/TrojanDownloader.Agent.ASL トロイの木馬 VBA/TrojanDownloader.Agent.ASU トロイの木馬
※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。
※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。
■ 常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。
1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。
2. OSのアップデートを行い、セキュリティパッチを適用する
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。
3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する
各種アプリのアップデートを行い、脆弱性を解消してください。
4. データのバックアップを行っておく
5. 脅威が存在することを知る
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。