Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

請求書の偽装メールで「vvvランサム」が国内に拡散 - 複数ベンダーが検知

当初、国内への影響がそれほど大きくないと見られていた「vvvランサムウェア」だが、ここに来て複数のセキュリティベンダーが攻撃の増加を検知している。

問題のマルウェアは、ランサムウェア「TeslaCrypt」の亜種。ソーシャルメディアで被害が報告され、拡張子を「vvv」へ変更する特徴などから大きく注目を集めた。

一部被害が確認されているものの、これまで複数のセキュリティベンダーは、「国内ユーザーへの影響は限定的」との見方を示していたが、その後状況が刻々と変化している。国内での検知数が徐々に増加しており、注意が必要だ。

感染経路は、これまでにメールの添付ファイルを利用した攻撃を中心に「脆弱性攻撃サイト」「正規サイトの改ざん」が確認されている。今回国内で検知が確認されたのもメールを悪用した手口だ。

トレンドマイクロでは、「国内へ相当数が流入している」ことを確認。同社によると、検知のピークを迎えた12月9日には、感染サイトへ誘導されるケースを1日だけで500件以上にのぼった。

zip圧縮した「JavaScript」をメールを送り付ける攻撃で、問題のメールは、「Invoice」「Payment」など請求書を偽装。さらに問題の「JavaScript」は、検知を逃れるために難読化されており、メールの件名や添付ファイルのファイル名、ハッシュ値などを変化させていたという。

ただし、件名や本文が英語であり、同社は「国内を狙った攻撃ではない」との見方を示している。また「JavaScriptファイル」を実行した際に、ダウンロードされるファイルがランサムウェアである場合と、正規のセキュリティ対策ソフトである「Avira」の場合があったという。

同様の動きは、他ベンダーも確認している。日本IBMが、12月9日に国内のセキュリティオペレーションセンターで十数件のメールを受信したことを明らかにしている。また10日の記者説明会でカスペルスキーの研究者が同日朝より、攻撃メールの受信数が増加していることを示唆した。

さらにESETにおいても、12月7日から12月8日にかけて検知数が増加しているという。メールに添付された「JavaScript」は、イタリアなどでも検出が確認されているが、日本国内における検出数が突出していた。同製品を取り扱うキヤノンITソリューションズによれば、サポートへ寄せられる相談も増えているという。

(Security NEXT - 2015/12/11 ) このエントリーをはてなブックマークに追加

PR

関連記事

フィッシング悪用ブランド、「au」が世界2位 - 「Emotet」国内活動は7割減
J-CSIPへの情報提供が約2.6倍に - 過去の受信メールにも注意を
2021年に観測が多かったマルウェア、大半が5年以上活動 - ランサム感染にも関与
テレワークで機密情報の特例持出が増加 - ルール遵守、半数近くが「自己確認」のみ
2Qセキュ相談、前四半期比約25%減 - 半減するも依然多い「Emotet」相談
「Mirai」によるパケットが増加 - 送信元の多くで防犯用映像記録装置が稼働
インフラ関係者9割超、サイバー攻撃による産業制御システムの中断を経験
2Qのインシデント、前期比約1.3倍に - フィッシングやスキャン行為が増加
2021年度下半期、標的型攻撃対応で62件の緊急レスキュー実施
5月に勢い増した「Emotet」 - 海外にくらべて高い国内検知率