シマンテックは12月16日、日本向けにプログラムされた身代金要求型不正プログラム(ランサムウェア)の亜種が確認されたと発表した。ここ数週間、日本のユーザーを狙って設計されたランサムウェアの亜種が活動しているという。
11月に確認されているランサムウェアの攻撃件数の国別内訳(シマンテック提供)
今回確認されたのは、表示される文章や画像を変更できるタイプのランサムウェア「TorLocker」のローカライズ版。TorLockerは、侵入先のコンピュータ上で特定の拡張子が付いたファイルを暗号化し、ファイルを復号するために身代金を支払うよう要求する。このランサムウェアの日本語版の亜種が複数確認されているとした。
TorLockerは世界中のランサムウェア攻撃で利用されている。アフィリエイトプログラムの一環として提供されており、プログラムの運営者は参加者に対して、ランサムウェアをカスタマイズするツール、感染を追跡するためのコントロールパネルへのアクセス、マルウェアと連携して使用する各種ファイルを提供している。それに対して参加者は、攻撃で得た利益の一部を運営者に支払う。
日本のユーザーを狙うローカライズ版の攻撃では、ブログのホストに広く使用されているウェブサイトが侵害されたという。しかし、悪用キットをレンタルした攻撃者がソフトウェアの脆弱性を悪用し、自動的に標的のコンピュータに侵入した可能性もある。
最近では、日本の出版社が所有するウェブサイトが侵害され、脆弱性攻撃キット「Rig」をホストする複数のドメインにリダイレクトされていた事例がある。この結果、最終的にランサムウェアが投下されていた可能性があるとした。
11月後半に発生した別の事例ではブログサイトが侵害され、偽のFlash Playerインストーラページが表示されたという。インストールボタンをクリックすると、プラグインをインストールするための設定ファイルをダウンロードして実行するよう求められるが、ボタンはFlash Playerのインストーラで通常使用されているものではなく、デジタル署名も付いていないため、インストーラは偽物である。
設定ファイルを実行しても、Flash Playerはインストールされない。代わりに特定のファイルが暗号化され、コンピュータがロックされたことを伝える日本語のメッセージが表示される。メッセージには、ファイルをアンロックするために身代金を支払うよう書かれている。要求される金額は4万~30万円。
日本のユーザーを狙うTorLockerの亜種で表示されるポップアップウィンドウ(シマンテック提供)
シマンテックは年末年始休暇間のランサムウェア対策として、ソフトウェアやOS、ブラウザのプラグインを更新し、セキュリティソフトを導入することを提言した。
ランサムウェアに感染にそなえ、ファイルを定期的にバックアップし、コンピュータを復元できる状態にすること、ファイルを復号してくれる保証がないため、決して身代金を支払わないことを呼びかけている。
