「Lockyランサムウェア」が国内外で猛威 - マクロを有効化させる巧妙手口も

Wordのマクロを通じて感染し、拡張子を「.locky」に変更する新種のランサムウェアが国内外で拡散しており、複数のセキュリティベンダーが警戒を呼びかけている。

ダウンローダーとなるWordファイルの検知状況（画像：ESET）

「lockyランサムウェア」は、ダウンローダーとなるWordファイルをメールで送り付け、同ファイルのマクロにより感染するマルウェア。メールは請求書などを装って拡散し、日本語を含む複数の言語で流通。国内外で多数検知されている。

ソーシャルエンジニアリングを用いたWordファイル（画像：Sophos）

感染するとユーザーの意図に反して暗号化し、拡張子を「.locky」に変更。デスクトップの壁紙に脅迫文を掲載して、0.5〜1BTCのBitcoinを要求する。シャドウコピーを削除する機能を備えるほか、ファイルサーバなどのファイルも暗号化するという。

英Sophosが検知したケースでは、マクロをオフにしているユーザーへの対策として、問題のWordファイルに文字化けしたように見せかける文字列を記載。「エンコーディングが誤っている場合は、マクロを有効化してください」などとだまし、マクロを有効化させて感染させるソーシャルエンジニアリングの手口を用いていた。

デスクトップに表示される脅迫文（画像：キヤノンITS）

またESET製品を扱うキヤノンITソリューションズによれば、国内に対しても「請求書」を偽装したメールが送信されており、感染後に生成される身代金を要求するファイルや、デスクトップの壁紙なども日本語の文章が用いられていた。国内でも多数検知しており、2月17日に国内でESETで検知されたマルウェアの21.2％を占めたという。

こうした状況を受け、セキュリティベンダーは、脆弱性の修正やセキュリティ対策ソフトの活用、データのバックアップなどをランサムウェアへ注意するよう呼びかけている。

また感染活動にはマクロが用いられており、同機能をオフにしたり、添付ファイルを開く際には、マクロ機能を利用できないマイクロソフトのViewerアプリの活用などを勧めている。

（Security NEXT - 2016/02/18 ） ツイート

PR

関連記事

「情報セキュリティ10大脅威2026」組織編の解説プレゼン資料を公開
委託先の特許管理システムにマルウェア、情報流出の可能性 - 埼大
サーバがランサム感染、顧客情報流出の可能性 - ネクサスエナジー
サーバデータが暗号化被害、内部に個人情報 - タカカツグループHD
ランサム被害の調査を継続、受注や発送は再開 - メディカ出版
CiscoやAppleなど脆弱性6件を悪用リストに追加 - 米当局
ランサム被害で個人情報流出、受注や出荷が停止 - メディカ出版
ランサム被害で障害、出荷は再開 - 日本スウェージロックFST
サーバがランサム被害、影響など詳細を調査 - 丸高興業
「セキュリティ10大脅威2026 」組織編の解説書を公開 - IPA