ユーザーのファイルを人質に取って脅迫する「ランサムウェア」を使った新手のスパムメールが米国などで出回っているとして、米セキュリティ機関のSANS Internet Storm Centerが4月30日のブログで注意を呼び掛けた。ランサムウェアは日本でも感染が確認され、今後被害が広がる可能性も指摘されている。

SANSによると、新手のスパムメールは米国などで4月27頃から報告されるようになった。いずれも英語で、件名には「アカウントが一時的にロックされました」「あなたのアカウントが禁止されました」などと記載され、本文では「他のIPアドレスからあなたのIDへ不正にログインしようとする動きを検出しました。IDを再確認してください。詳しい情報は添付ファイルの参照を」といった文言で、添付ファイルを開かせようとする。

ユーザーがだまされて添付のZIPファイルを解凍すると、まずダウンローダー型マルウェアの「Dalexis」に感染し、Dalexisがランサムウェアの「CTB-Locker」を呼び込んで感染させる。

CTB-Lockerに感染すると、英語で「あなたのファイルはCTB-Lockerによって暗号化された」という内容の警告メッセージが表示され、「96時間以内に送金がなければ、ファイルはすべて永久に暗号化されたまま復元できない」と脅迫する。

スパムメールの件名はそれぞれ多少の違いがあり、添付ファイルのハッシュ値も異なっているという。

ランサムウェアを巡っては、日本でも「Cryptolocker」などの感染が確認されるようになったとして、Symantecなどが注意を呼び掛けていた。

Symantecの4月23日のブログでは、「東アジアの国々を標的とするランサムウェアの出現は、こうした国々に存在する巨大な可能性と、この地域が豊かになってきていることに攻撃者が気付き始めたことを示す。かつては言語が侵入に対する障壁となっていたが、もはやそうではなくなっている」と指摘。いずれ日本などの東アジア諸国を狙った攻撃が増大することは避けられないと予想する。

対策としては、コンピュータ上のファイルは定期的なバックアップを取るよう心掛け、もし感染したとしても身代金を払ってはいけないとSymantecは強調。身代金を払ったとしてもファイルが復元される保証はないと指摘している。

Copyright © ITmedia, Inc. All Rights Reserved.