ランサムウェアは、手っ取り早く稼ぐ手段としてサイバー犯罪者の間で依然人気が高いようです。そして、次々に新しいファミリや亜種が拡散されています。今回トレンドマイクロは、暗号化型ランサムウェア「R980」(「RANSOM_CRYPBEE.A」として検出)を新たに確認しました。
続きを読む2016年の上半期、暗号化型ランサムウェアが暗躍したことは言うまでもありません。暗号化型ランサムウェアは、金銭目的である他の不正プログラム、例えば、オンライン銀行詐欺ツールと異なり、サイバー犯罪者が高度な手法を利用することなく、自身の金儲けに利用できることがその背景にあると考えられます。2014年と2015年に確認された暗号化型ランサムウェアは合計49であったのに対し、2016年6月末時点で既に50以上もの新しいファミリが確認されています。この猛威の要因の1つに、脅迫手口の巧妙化が挙げられます。ファイルを失うことへの恐怖から身代金を支払わせるというシナリオで、PC のスクリーンを単にロックするものから、偽の法律違反の警告を利用するもの、そして、実際にデータを操作するものまで、これらランサムウェアを利用するサイバー犯罪者は、手法を改良し続けています。
続きを読む暗号化型ランサムウェアの活動のニュースは後を絶ちません。トレンドマイクロは、長期間の身代金支払期限を提示する「GOOPIC」や、パスワード窃取機能を持つ「RAA」、チャットサポートのサービスを備えた「JIGSAW」の亜種などを報告してきましたが、これらはすべて2016年6月だけで確認された事例です。弊社は、一連の新しい暗号化型ランサムウェアの中でも、独特な挙動を示す暗号化型ランサムウェア「MIRCOP(ミルコップ)」(RANSOM_MIRCOP.Aとして検出)を確認しました。
「MIRCOP」の作成者は、ファイル暗号化に至った原因がユーザにあるとして、身代金の支払い方法についての指示も与えていません。つまりこの作成者は、ユーザが支払い方法について先刻承知していると考えているようです。
図1:「MIRCOP」の脅迫状
ビジネスの成功のためには、良い顧客サービスが不可欠です。暗号化型ランサムウェアの作成者が、ユーザの身代金支払いプロセスの簡易化を考えていたとしても、意外ではないでしょう。今回確認された「JIGSAW」の亜種には、新しい手法が取り入れられていました。身代金を手に入れるために「Dark Web(ダークWeb)」の支払いサイトを利用するのではなく、ライブチャットサポートを利用してユーザと会話します。
この新しい亜種(「Ransom_JIGSAW.H」として検出)には、以前確認されている「JIGSAW」と類似した特徴が見られます。
図1:「JIGSAW」の脅迫メッセージ
ある目的に特化した「端末」に、より汎用的な OSプラットフォームが搭載されることで私達の生活を便利にする機能が実現されてきました。最大の成功例は携帯電話は iPhone OS(現iOS)や Android OS を搭載した携帯電話、つまり「スマートフォン」でしょう。このような「スマート化」の流れは様々な家電製品に及び始めています。しかし、便利な機能を実現する OS のプラットフォームが不正プログラムに感染してしまうと、利用者に大きな不便をもたらすことになってしまいます。その具体的な例として、トレンドマイクロは、Android版端末ロック型ランサムウェア「FLocker(エフロッカー)」がスマートテレビをロックした事例を確認しました。
図1:スマートテレビの画面に表示されるランサムウェア
あるものが流行していると判断できる目安は何でしょうか。簡単な目安は、出来の良くない類似品まで市場に出回ったときです。どうやらランサムウェアは、粗悪品が出まわるほど流行してきたようです。
新しく確認された暗号化型ランサムウェアファミリ「ZCRYPT(ズィークリプト)」(「RANSOM_ZCRYPT.A」として検出)の作成者は、Windows XP を対象から除外したか、作成に際して不十分な作業をしたようです。この新しいファミリは Windows の最近のバージョンである Windows7およびそれ以降の Windows しか対象とぜず、後方互換性がありません。「ZCRYPT」は、意図的に古いオペレーティングシステム(OS)を対象から省いたのでしょうか、それともただ中途半端に作成された不正プログラムなのでしょうか。
続きを読む