Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Lockyランサムウェア」が国内外で猛威 - マクロを有効化させる巧妙手口も

Wordのマクロを通じて感染し、拡張子を「.locky」に変更する新種のランサムウェアが国内外で拡散しており、複数のセキュリティベンダーが警戒を呼びかけている。

20160218_ci_001.jpg
ダウンローダーとなるWordファイルの検知状況(画像:ESET)

「lockyランサムウェア」は、ダウンローダーとなるWordファイルをメールで送り付け、同ファイルのマクロにより感染するマルウェア。メールは請求書などを装って拡散し、日本語を含む複数の言語で流通。国内外で多数検知されている。

20160218_so_001.jpg
ソーシャルエンジニアリングを用いたWordファイル(画像:Sophos)

感染するとユーザーの意図に反して暗号化し、拡張子を「.locky」に変更。デスクトップの壁紙に脅迫文を掲載して、0.5〜1BTCのBitcoinを要求する。シャドウコピーを削除する機能を備えるほか、ファイルサーバなどのファイルも暗号化するという。

英Sophosが検知したケースでは、マクロをオフにしているユーザーへの対策として、問題のWordファイルに文字化けしたように見せかける文字列を記載。「エンコーディングが誤っている場合は、マクロを有効化してください」などとだまし、マクロを有効化させて感染させるソーシャルエンジニアリングの手口を用いていた。

20160218_ci_002.jpg
デスクトップに表示される脅迫文(画像:キヤノンITS)

またESET製品を扱うキヤノンITソリューションズによれば、国内に対しても「請求書」を偽装したメールが送信されており、感染後に生成される身代金を要求するファイルや、デスクトップの壁紙なども日本語の文章が用いられていた。国内でも多数検知しており、2月17日に国内でESETで検知されたマルウェアの21.2%を占めたという。

こうした状況を受け、セキュリティベンダーは、脆弱性の修正やセキュリティ対策ソフトの活用、データのバックアップなどをランサムウェアへ注意するよう呼びかけている。

また感染活動にはマクロが用いられており、同機能をオフにしたり、添付ファイルを開く際には、マクロ機能を利用できないマイクロソフトのViewerアプリの活用などを勧めている。

(Security NEXT - 2016/02/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

VPN経由でランサム攻撃、情報の外部公開を確認 - ベル・データ
「FortiOS」脆弱性や不正コード混入「Githubアクション」の悪用に注意喚起 - 米政府
2024年の不正アクセス届出166件 - 脆弱性や設定不備が標的に
先週注目された記事(2025年3月2日〜2025年3月8日)
【特別企画】なぜ今「ASM」が注目されるのか - 攻撃者視点こそ防御のかなめ
IPA、「情報セキュリティ10大脅威 2025 組織編」の解説書を公開
「Paragon Partition Manager」に脆弱性 - ランサム攻撃で悪用も
先週注目された記事(2025年2月23日〜2025年3月1日)
オーエム製作所でランサムウェアの被害 - 情報流出のおそれ
ランサム被害が判明、一部店舗で営業停止 - 保険見直し本舗