ビジネスの成功のためには、良い顧客サービスが不可欠です。暗号化型ランサムウェアの作成者が、ユーザの身代金支払いプロセスの簡易化を考えていたとしても、意外ではないでしょう。今回確認された「JIGSAW」の亜種には、新しい手法が取り入れられていました。身代金を手に入れるために「Dark Web(ダークWeb)」の支払いサイトを利用するのではなく、ライブチャットサポートを利用してユーザと会話します。
この新しい亜種(「Ransom_JIGSAW.H」として検出)には、以前確認されている「JIGSAW」と類似した特徴が見られます。
あるものが流行していると判断できる目安は何でしょうか。簡単な目安は、出来の良くない類似品まで市場に出回ったときです。どうやらランサムウェアは、粗悪品が出まわるほど流行してきたようです。
新しく確認された暗号化型ランサムウェアファミリ「ZCRYPT(ズィークリプト)」(「RANSOM_ZCRYPT.A」として検出)の作成者は、Windows XP を対象から除外したか、作成に際して不十分な作業をしたようです。この新しいファミリは Windows の最近のバージョンである Windows7およびそれ以降の Windows しか対象とぜず、後方互換性がありません。「ZCRYPT」は、意図的に古いオペレーティングシステム(OS)を対象から省いたのでしょうか、それともただ中途半端に作成された不正プログラムなのでしょうか。
続きを読む修正プログラムの管理状況が試されるのは、システムやネットワークへの侵入口として、脆弱性などセキュリティ上の不具合が利用された時です。悪名高い暗号化型ランサムウェア「SAMSAM(サムサム)」の事例は、修正プログラム管理の重要さを伝えています。SAMSAM(「RANSOM_CRYPSAM」として検出)は、以前に本ブログでも紹介した暗号化型ランサムウェア「SAMAS」をベースに作成されたと思われる暗号化型ランサムウェアの新種です。不正なURL やスパムメール経由で拡散する他の暗号化型ランサムウェアファミリと異なり、修正プログラムが適用されていないサーバの脆弱性を突いて拡散します。2016年3月、SAMSAM は、米国ケンタッキー州の病院を攻撃した際、ネットワーク上のファイルを含むすべてのファイルを暗号化しました。その後 SAMSAM は、4月、医療業界から教育機関に標的を移しているようです。最近の事例では、SAMSAMの拡散に Java で実行されるオープンソースのアプリケーションサーバ「JBoss」の脆弱性が利用されました。攻撃者は、JBoss の脆弱性を突く攻撃ツール「Jexboss」を利用して各組織のネットワークに侵入しました。学校図書管理システム「Destiny」を利用するサーバも影響を受けました。Destiny は世界各地の幼稚園から高等学校までの教育機関で利用されているソフトウェアです。既に Destiny の製造元である「Follett」は、利用者のための修正プログラムを公開して対応しています。
続きを読む人生で避けられないのは死と税金、と言われますが、サイバー犯罪についても同じことが言えそうです。米国では確定申告の締切が近づき、何百万という人が申告書類を準備している時期です。サイバー犯罪者は、この確定申告という好機を見逃さず利益を得ようと、納税者を狙った様々な攻撃を行っているようです。トレンドマイクロでは、確定申告に関連した、偽の送金指示メール「Business E-mail Compromise(BEC)」の攻撃による被害にあった企業の最近の事例を確認しています。そして今回、インターネット上で恐喝するサイバー犯罪者もこの騒動に加わったようです。
続きを読むファイルを暗号化して復号を理由に金銭を要求するだけでは、物足りなかったようです。今回新たに確認されたCyrptoランサムウェア(暗号型ランサムウェア)「PETYA」は、ブルースクリーン(BSoD)を引き起こし、PC再起動時のオペレーションシステム(OS)が読み込まれる前に、身代金要求メッセージを表示します。通常であれば、PC を起動すると OS を読み込み中であることを知らせる Windowsのアイコンが表示されるはずです。しかし、この暗号型ランサムウェアに感染すると、背景が赤で白のドクロマークが点滅して表示されることになります。
“Attention! Attention! Attention!”(注意!注意!注意!)
“Your documents, photos, databases and other important files have been encrypted!”(あなたのドキュメント、写真、データベースその他重要ファイルが暗号化されました!)
「身代金要求型不正プログラム(ランサムウェア)」により、PC上の重要なファイルすべてが暗号化された場合を想像してみてください。その後すぐに「身代金」を要求するメッセージを受け取り、そこには身代金を支払うまで暗号化されたファイルは復号されない、と書いてあります。
続きを読むCryptoランサムウェア(暗号化型ランサムウェア)に狙われる医療機関の報道が最近、複数報告されています。トレンドマイクロでは、この脅威に関して多くの問い合わせを受けています。暗号化型ランサムウェアを含むランサムウェアは、特に新しい脅威でなく、かつての「偽セキュリティソフト(FAKEAV)」から進化したものです。サイバー犯罪者にとっては利用しやすい攻撃であるため、現在では広くまん延しています。加えて、ファイルの暗号化機能により 暗号化型ランサムウェアは特に厄介な脅威へと変貌することになりました。
続きを読むVictim or potential business partner? (訳:身代金を支払いますか、またはビジネスパートナーになりますか?)
2015年9月、Cryptoランサムウェア「Chimera」が確認されました。そして上述の質問は、このChimera(トレンドマイクロの製品では「Ransom_CRYPCHIM.A」として検出)が投げかける質問です。Chimeraは一見すると、典型的な Cryptoランサムウェアのように見えます。しかし、Chimeraには、3つの目立った特徴があります。
続きを読むイギリス大手新聞インデペンデント紙のメディアサイト「The Independent」の改ざん被害が確認されました。トレンドマイクロの調査によれば、サイトは日本時間 12月9日12時時点で改ざん被害が継続しており、複数の不正プログラムが拡散されている状態です。この改ざんにより、数百万人のサイト読者が不正プログラム感染のリスクにさらされる可能があります。本件についてはトレンドマイクロから既に「The Independent」へ報告し、サイト側と事態の収拾を図っています。サイト側では、ニュースサイトのスタッフが迅速に対応し、当該サイトとユーザに及ぶ影響を回避する対策を講じています。
続きを読む
