NEWS

ニュース | 最新のニュースをお届けします

ランサムウェア「Locky」の攻撃が世界中で発生中

この記事をシェア

ランサムウェア「Locky」は2016年2月に出現して以来、ファイルを暗号化するという攻撃によって被害者を悩ませて続けています。4月に入ってもいまだ多くのユーザーをターゲットにしており、国内のみならず各国で被害が続出しています。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を基に、日本向けの解説を加えて編集したものです。


ランサムウェアの亜種の一つである「Locky」(ESETにおける分類上の名称は「Win32/Filecoder.Locky.A」)は内蔵ドライブ、外付けドライブ、さらにネットワークドライブ上の画像、動画、データベースといった100種類以上のファイルを暗号化します。

このランサムウェアは実行されると自身を「%temp%¥¬svchost.exe」にコピーします。そしてレジストリに登録を追加し、システムが作動しだすと自身を実行します。

攻撃には、ファイルが添付された普通のメールメッセージが用いられます(以前の亜種は不正なマクロを含んだワードやエクセルの添付ファイルを用いていました)。

この添付ファイルはトロイの木馬型ダウンローダーを備えています。数ある亜種の中でもESETによって「JS/TrojanDownloader.Nemucod」として検知されたものの一族が最も多く登場しています。

このファイルはJavaScriptのファイル(.js)を含んでおり、それが実行されるとペイロードをダウンロードして実行します。Lockyがこのケースに当たります。

一度開かれると、NemucodはJavaScriptファイル(.js)を実行します。そしてペイロードをダウンロードし、実行します。このケースでは「Win32/Filecoder.Locky.A」が立ち上げられ、ネットワークドライバの中のファイルを調べ上げます。目当てのファイルを暗号化し、その拡張子を「.locky」に書き換えます。その後、ランサムウェアLockyはデバイスの壁紙を変更して、デスクトップの背景が次のようなテクストを表示するようにしてしまいます。

この段階の次に、ユーザーは身代金を払うように要求され、トロイの木馬はコンピューターから姿を消します。さらに、このマルウェアは暗号化したファイルのリストとともに、OSとシステム設定の情報を収集します。そしてそのデータを、HTTPプロトコルのもとで遠隔地のマシンに送ろうとします。

目下、ランサムウェアの亜種に見られるように、支払いの指示は全てTORリンクに保存されており、支払いはビットコインを用いて行うよう求められます。

現在の動向

2月末以来、ESETはLockyやTeslaCryptといったランサムウェアの繁殖キャンペーンを幾つか確認していますが、それらの大半はマルウェアJS/TrojanDponwloader.Nemucodを使って拡散されています。

こういったキャンペーンはLiveGridのようなESETの遠隔測定システムによってとても高い検知率を示しており、例えば日本ではその値は80%に及ぼうかという勢いです。

この検知率はLiveGridシステムを利用するユーザーから自動的に送られてくるデータに依拠して集計されたもので、この数値はESETのサーバーに検出されたマルウェアの中で1つの亜種に属するものの総量が占めるパーセンテージを示しています。

2016年3月の情報を取り上げてみると、3月上旬から4つの大きな山を確認することができます(2月末にも同じような大きな山が1つありました)。山はそれぞれ各週に該当し、攻撃が弱まるのは毎週土日であることから、企業組織もしくはビジネスシーンをターゲットとしていることがうかがえます。

全世界のJS/TrojanDponwloader.Nemucod検出状況(2016年3月)

これらトロイの木馬型ダウンローダーの攻撃によって最も影響を受けた国は日本ですが、日本を筆頭として、イタリア、イギリス、アイルランドといったヨーロッパ諸国が後に続きます。この検知率は日々変化しており、ドイツやスペインといった国々もまた非常に高い検知率を示し始めています。

国別による「JS/TrojanDownloader.Nemucod」の検出マップ(2016年3月) 日本は68.49%

北米、オーストラリア、ニュージーランド、南アフリカといった地域も影響を受け始めています。ランサムウェアの拡散に用いられるメールは主に日本語と英語で書かれているため、上記の地域の大部分がESETがウイルスの大半を検出した地域であるという事実は重要です。

攻撃を受けている国を見ると、このマルウェアは裕福な国を狙っていると考えられます。これらの国の人なら感染した場合、身代金を支払いそうだと期待してのことかもしれません。

どのようにして身を守るか。

以前ほかのランサムウェアに関して述べられた防御法が、Lockyの場合にもそっくりそのまま当てはまります。

1 バックアップを取る

バックアップしておくことが肝心です。厄介なランサムウェアによって保存されているファイルが暗号化されてしまって、それを復旧するために金銭を要求されているという事実に立ち返りましょう。外付けハードディスクやクラウドストレージにあなたのファイルのバックアップを取っておくと良いでしょう。

2 バックアップシステムは常時接続しない

ファイルのコピーを取るときにだけこのバックアップシステムに接続する、ということはしっかりと守りたいものです。もしそうしなければ、バックアップファイルもまた暗号を掛けられかねません。ランサムウェアは、ファイルシステムをマッピングして外部ドライブや共有フォルダ、クラウドストレージサービスを探しているからです。

3 アンチウイルスソフトのアップデート

アンチウイルスソフトをきちんとアップデートしておきましょう。もしそのソフトがヒューリスティックなどのプロアクティブな保護機能を備えているなら、それを有効にしておきましょう。新しい脅威を検知するウイルス情報を得るのに何時間も待つのか、それとも数分で済むのかといった大きな違いが生まれます。

4 ソフトウェアやOSのアップデート

自分のデバイスのOSやインストールしたソフトのアップデートを行っておきましょう。OSやアプリのセキュリティホールの発見という功績は、マルウェアの作者にも同様に利用されるものです。最新のアップデートファイルのインストールをし忘れてサイバー犯罪者にシステム感染を許させないようにしましょう。

5 WindowsのUAC(ユーザーアカウント制御)の活用

システムを安全なものにしておきましょう。アップデートのほかにもシステムを安全に保つためにできることが幾つかあります。WindowsのUAC(ユーザーアカウント制御)は何よりも最初に取り入れてしかるべき方法です。それを用いれば、未知のファイルを実行するときには追加の許可を要するような仕様に設定することができるからです。

6 Windows Active Directoryの利用

オフィスでコンピューターを使用していて、Windows Active Directoryを利用できるなら、ランサムウェアがあなたのファイルに暗号を掛けたり、あなたのネットワークを通じて拡散することを防ぐようにグループポリシーを設定することができます。MSオフィスのマクロが実行されるのを防ぐこともできて、不正なオフィスファイルを従業員が開いてしまう懸念に煩わされることもなくなります。

この記事をシェア

ランサムウェアのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!