2016年の上半期、暗号化型ランサムウェアが暗躍したことは言うまでもありません。暗号化型ランサムウェアは、金銭目的である他の不正プログラム、例えば、オンライン銀行詐欺ツールと異なり、サイバー犯罪者が高度な手法を利用することなく、自身の金儲けに利用できることがその背景にあると考えられます。2014年と2015年に確認された暗号化型ランサムウェアは合計49であったのに対し、2016年6月末時点で既に50以上もの新しいファミリが確認されています。この猛威の要因の1つに、脅迫手口の巧妙化が挙げられます。ファイルを失うことへの恐怖から身代金を支払わせるというシナリオで、PC のスクリーンを単にロックするものから、偽の法律違反の警告を利用するもの、そして、実際にデータを操作するものまで、これらランサムウェアを利用するサイバー犯罪者は、手法を改良し続けています。
続きを読む犯罪目的で企業の最高経営責任者(CEO)や代表取締役社長、他の幹部社員になりすました偽装メールの横行は、いまや驚くべきことではありません。これらは、従業員は CEO や代表取締役社長からの依頼メールを断れないという弱みに付け込んだ手口です。文法的に不自然な文言、宝くじ当選や王族からの手紙といった非現実的な話など、メール内容から偽装メールだとすぐに判断できる時代は過ぎ去りました。今日、「Business Email Compromise(BEC、ビジネスメール詐欺)」の手口は、企業幹部に巧妙になりすまして権威を悪用し、最高財務責任者(CFO)など、社内の財務関係の責任や業務を担う従業員を標的にしています。
続きを読むオンライン銀行詐欺ツール「DRIDEX」は、2016年5月にはわずか数日間の活動が確認された程度であったため、一見すると減少傾向にあると思われました。これは過去5ヶ月間の「DRIDEX」の活動から見ても不自然な現象でした。案の定、減少傾向と見られたのは「中断」に過ぎなかったようで、2016年5月25日、トレンドマイクロでは「DRIDEX」を拡散するスパムメールの急増を確認しました。このスパムメール送信活動では、主に米国、ブラジル、中国、ドイツ、日本のユーザが影響を受けました。ただし日本国内のネットバンキングを狙った「DRIDEX」はまだ確認できておらず、日本に関してはスパムメールの流れ弾的な流入であるものと言えます。
![図1:DRIDEXを拡散するスパムメールの影響を受けた上位10カ国(2016年5月25日現在)](/wp-content/uploads/2016/06/160603comment01.jpg)
図1:DRIDEX を拡散するスパムメールの影響を受けた上位10カ国(2016年5月25日現在)
あるものが流行していると判断できる目安は何でしょうか。簡単な目安は、出来の良くない類似品まで市場に出回ったときです。どうやらランサムウェアは、粗悪品が出まわるほど流行してきたようです。
新しく確認された暗号化型ランサムウェアファミリ「ZCRYPT(ズィークリプト)」(「RANSOM_ZCRYPT.A」として検出)の作成者は、Windows XP を対象から除外したか、作成に際して不十分な作業をしたようです。この新しいファミリは Windows の最近のバージョンである Windows7およびそれ以降の Windows しか対象とぜず、後方互換性がありません。「ZCRYPT」は、意図的に古いオペレーティングシステム(OS)を対象から省いたのでしょうか、それともただ中途半端に作成された不正プログラムなのでしょうか。
続きを読む2016年5月18日(米国時間)、暗号化型ランサムウェア「CRYPTESLA」(別名:TeslaCrypt、「RANSOM_CRYPTESLA」として検出)が活動を停止し、復号に必要なマスターキーが無料で公開されました。このランサムウェアに関連する脅威状況の一大事件の裏で、CRYPTESLA が利用していた手口を再利用しようとするサイバー犯罪者がいるようです。この事例に先立って、4月に、従来のランサムウェア「REVETON」の背後にいるサイバー犯罪者集団が新たに「Angler Exploit Kit(Angler EK)」および「BEDEP」を利用して暗号化型ランサムウェア「CryptXXX」(「RANSOM_WALTRIX」として検出)を拡散する報告がありました。
続きを読む人生で避けられないのは死と税金、と言われますが、サイバー犯罪についても同じことが言えそうです。米国では確定申告の締切が近づき、何百万という人が申告書類を準備している時期です。サイバー犯罪者は、この確定申告という好機を見逃さず利益を得ようと、納税者を狙った様々な攻撃を行っているようです。トレンドマイクロでは、確定申告に関連した、偽の送金指示メール「Business E-mail Compromise(BEC)」の攻撃による被害にあった企業の最近の事例を確認しています。そして今回、インターネット上で恐喝するサイバー犯罪者もこの騒動に加わったようです。
続きを読むファイルを暗号化して復号を理由に金銭を要求するだけでは、物足りなかったようです。今回新たに確認されたCyrptoランサムウェア(暗号型ランサムウェア)「PETYA」は、ブルースクリーン(BSoD)を引き起こし、PC再起動時のオペレーションシステム(OS)が読み込まれる前に、身代金要求メッセージを表示します。通常であれば、PC を起動すると OS を読み込み中であることを知らせる Windowsのアイコンが表示されるはずです。しかし、この暗号型ランサムウェアに感染すると、背景が赤で白のドクロマークが点滅して表示されることになります。
![図1:感染後のPCが起動時に表示されるドクロマーク](/wp-content/uploads/2016/03/160325comment01.jpg)
図1:感染後のPCが起動時に表示されるドクロマーク
2016年2月17日、トレンドマイクロでは多言語に対応した暗号化型ランサムウェアを確認し「RANSOM_LOCKY」として検出対応しました。そしてこの 19日現在、このランサムウェアを拡散するマルウェアスパムを全世界で 24万通以上確認しています。トレンドマイクロのクラウド型セキュリティ技術基盤である「Smart Protection Network(SPN)」の統計によれば、19日現在、「RANSOM_LOCKY」は日本でも 60台以上からの検出が確認されており、国内にも流入している状態と思われますので注意喚起致します
続きを読む