Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Lockyランサムウェア」が国内外で猛威 - マクロを有効化させる巧妙手口も

Wordのマクロを通じて感染し、拡張子を「.locky」に変更する新種のランサムウェアが国内外で拡散しており、複数のセキュリティベンダーが警戒を呼びかけている。

20160218_ci_001.jpg
ダウンローダーとなるWordファイルの検知状況(画像:ESET)

「lockyランサムウェア」は、ダウンローダーとなるWordファイルをメールで送り付け、同ファイルのマクロにより感染するマルウェア。メールは請求書などを装って拡散し、日本語を含む複数の言語で流通。国内外で多数検知されている。

20160218_so_001.jpg
ソーシャルエンジニアリングを用いたWordファイル(画像:Sophos)

感染するとユーザーの意図に反して暗号化し、拡張子を「.locky」に変更。デスクトップの壁紙に脅迫文を掲載して、0.5〜1BTCのBitcoinを要求する。シャドウコピーを削除する機能を備えるほか、ファイルサーバなどのファイルも暗号化するという。

英Sophosが検知したケースでは、マクロをオフにしているユーザーへの対策として、問題のWordファイルに文字化けしたように見せかける文字列を記載。「エンコーディングが誤っている場合は、マクロを有効化してください」などとだまし、マクロを有効化させて感染させるソーシャルエンジニアリングの手口を用いていた。

20160218_ci_002.jpg
デスクトップに表示される脅迫文(画像:キヤノンITS)

またESET製品を扱うキヤノンITソリューションズによれば、国内に対しても「請求書」を偽装したメールが送信されており、感染後に生成される身代金を要求するファイルや、デスクトップの壁紙なども日本語の文章が用いられていた。国内でも多数検知しており、2月17日に国内でESETで検知されたマルウェアの21.2%を占めたという。

こうした状況を受け、セキュリティベンダーは、脆弱性の修正やセキュリティ対策ソフトの活用、データのバックアップなどをランサムウェアへ注意するよう呼びかけている。

また感染活動にはマクロが用いられており、同機能をオフにしたり、添付ファイルを開く際には、マクロ機能を利用できないマイクロソフトのViewerアプリの活用などを勧めている。

(Security NEXT - 2016/02/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

Pulse Secureの既知VPN脆弱性、ランサムウェアの標的に
「Emotet」の脅威(1) - 組織やビジネスへの影響を考える
長期休暇に向けてセキュリティ対策の再確認を
パッチ公開翌日から「PHP-FPM」への攻撃を観測 - PHP環境の情報収集も
「BlueKeep」など既知RDP脆弱性狙う攻撃に注意 - パッチ適用の徹底を
「Emotet」国内被害、10月後半より増加 - 過去やりとり踏まえた「なりすましメール」で拡大
10月は「Emotet」が急増 - 3カ月間の休止経て
PHP脆弱性狙うランサム攻撃「NextCry」が発生
RaaSで拡散するランサムウェア「Paradise」に復号化ツール
高校のサーバがランサム感染、学習成果物など被害 - 川崎市