「ランサムウェア」とは、侵入したコンピュータを使用不能にする、コンピュータ内のデータを暗号化する、などの方法を用いてコンピュータ使用者に「身代金」を要求する脅迫的活動を行う不正プログラムの総称です。トレンドマイクロでは特にデータを暗号化する手法のものを「Cryptoランサムウェア」と呼んで区別しています。弊社では日本語表示に対応した Cryptoランサムウェア「TROJ_CRYPWALL.XXQQ」が、2015年4月17日前後から国内インターネット利用者の環境で検出されていることを確認しました。この「TROJ_CRYPWALL.XXQQ」は実行されるとコンピュータ内のファイルを暗号化し、次に暗号化したファイルを元に戻すにはどうすればよいかを示す「脅迫メッセージ」を表示します。この際、感染PC が日本語環境だった場合、日本語でメッセージが表示されます。
図1:「TROJ_CRYPWALL.XXQQ」が表示する日本語メッセージ(HTML版)
図2:「TROJ_CRYPWALL.XXQQ」が表示する日本語メッセージ(テキスト版)
検出が確認された環境では “stinger32.exe” などのファイル名でインターネットからダウンロードされており、セキュリティ対策製品などに偽装してダウンロードさせる手口が推測されます。確認から 1週間で 60件以上の検出を確認していますが、まだ広く被害が拡散している状況ではないものと判断しています。
この「TROJ_CRYPWALL.XXQQ」の表示する日本語の脅迫メッセージの文面には、他の不正プログラムやスパムメールで見られるような日本語としておかしな表現はあまりなく、ある程度日本語が堪能な協力者がいるものと推測されます。また、侵入した環境の言語設定に合わせて日本語以外にも英語、韓国語のメッセージを表示可能な多言語対応Cryptoランサムウェアです。身代金の要求メッセージなどを日本語で表示する Cryptoランサムウェアとしては、2014年3月に確認された「TROJ_CRITBIT.B」、また 2014年12月に登場した「TROJ_CRYPBIT」の 2種のみが確認されています。特に「TROJ_CRYPBIT」は国内の攻撃者が作成、頒布に関与したものと考えられていますが、現在のところ国内の広い範囲で被害が確認されてはいません。
これまでは日本語に対応した、つまり日本を攻撃の標的としたランサムウェアがほとんど存在しなかったため、日本でのランサムウェアの被害は、いわば「流れ弾」的な被害であると考えられてきました。しかし、多言語対応でありながら、自動翻訳的でない表現の日本語メッセージを表示する「TROJ_CRYPWALL.XXQQ」の登場は、日本におけるランサムウェアのひとつの転換点になるかもしれません。2年前、ネットバンキングを狙うオンライン銀行詐欺ツールがそうだったように、今後は国内外の攻撃者による日本を標的としたランサムウェアの動きが活発化する危険性を無視できなくなってきたものと言えます。
■トレンドマイクロのソリューション
今回確認された不正プログラムは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の機能である「ファイルレピュテーション(FRS)」技術により、順次検出対応を行っています。特に、クライアント向け対策製品「ウイルスバスター クラウド」、法人向けエンドポイント対策製品「ウイルスバスター コーポレートエディション」など、ウイルス検出機能を持つ製品をご使用の場合、検出可能です。
※リサーチ協力:木村仁美(Regional Trend Labs)、秋保陽介(Regional Trend Labs)