ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. Techコラム
ここから本文です。

Techコラム

物流事業者を偽装して感染を図るランサムウェア
その手法とは

2. 物流事業者を偽装して感染を図るランサムウェアの正体とは?

ランサムウェアの「vvvウイルス」は、感染PC上でファイルを暗号化する際、ファイル識別子を「.vvv 」に変えるため、このように呼ばれました。2016年1月中旬以降「.XXX 」「.TTT 」「.MICRO」「.Locky」などの亜種が発生、他にもランサムウェアは毎日大量に発生しており、TeslaCrypt 系、Ransom 系、CryptWall系、Cryptolocker系などさまざまで、セキュリティベンダー各社によって名称は異なります。

IPAでは、2015年4月からランサムウェアの被害相談が増加したことを受けて、6月に注意喚起(注3 )を行いました。その後しばらく鎮静化しましたが、10月頃よりウイルス感染を目的としたWebサイト改ざんや11月頃よりランサムウェア感染を目的としたばらまき型メール攻撃が発生したため、再度注意喚起が行われています(注4、注5)。12月以降、以下のような複数の物流事業者を偽装した、ばらまき型メールによる攻撃が発生しています。

よく使われていた送信元ドメインは「rambler.ru 」で、ロシアの大手検索サービスです。Yahoo!などと同様、無料のメールアドレスが使用できるため、数年前からスパムメールなどで悪用されています。このドメインには多くのIPアドレスが割り当てられており、攻撃キャンペーンによって使用されるIPアドレスは異なります。

ファイル名にはランダムな文字に「invoice」「doc」「info」などが追加され、拡張子は .zip か、何も付いていない場合もあります。×× ジャパンの偽装では、添付ファイルの拡張子に「.zip 」や「.z 」が使用されていましたが、何も付いていない場合もあります。

拡大する難読化されたJavaScriptコードを解読した結果の一部
(URL部分は変えています)

zipファイルの中には、マルウェア本体の[invoice.exe] と、カムフラージュするためのデコイファイルの [invoice.jpg] が格納されていました。マルウェア本体は難読化されたJavaScriptコードで、解読すると別の不正ファイルをダウンロードする先のURLが記載されていました。このURLに不正ファイルが設置されている時間は短く、1日か数時間の場合もあります。これは、配布したマルウェアがセキュリティベンダーや調査機関などに検体を取得されて解析されることを避けるだけでなく、踏み台として悪用した正規サイトから攻撃者の攻撃の証跡を消す目的があると推測されます。

拡大するファイルが暗号化されてファイル拡張子が「.vvv」に改変。画面がロックされて脅迫文が表示される。

PCが感染すると、ファイルを暗号化してユーザの画面をロックして、脅迫文のHTMLページなどを表示します。

  • データ量によっては数分で暗号化される可能性があります。
  • 感染したPCは、マルウェアを駆除出来てもデータの復旧は非常に困難です(より強固な暗号化実装)。
  • 身代金を支払っても復号化される保証はないので、支払うべきではありません。

3.被害に遭う前にバックアップを!

ファイル暗号化被害を低減する方法の一つに「バックアップ」があります。企業や組織において、定期的なバックアップ運用が確実に実行されているか、再確認することを推奨します。
Windows Server には共有フォルダのシャドウコピーを自動的に保存する機能があるため、これを有効にする方法もあります。
もしも感染した場合、再起動は行わずにスリープモードに移行し、共有ファイルサーバなどの二次被害を防ぐため、ネットワークから切り離してください。ハードディスクなどの外部接続機器は、使用時のみ接続してください。組織の情報資産は、適切なアクセス制限が行われていれば、被害のリスクを低減できます。情報資産の洗い出しを行い、機密レベルに応じた情報資産管理運用が重要です。

個人や小規模事業者の場合は、Windowsのペアレンタルコントロール(保護者による制限)機能を使うと、ホワイトリスト化されたプログラムのみ実行を許可することでリスクを低減できます。
詳細についてはマイクロソフトのサイトを参照してください。(注6)

【動画】今、企業の情報資産を守るために必要なこととは?
-NECからのご提案-

画面キャプチャ

外部攻撃(標的型攻撃、不正アクセス)、内部不正の両面から狙われる企業情報。どのように守っていくのか、どこから始めるべきなのか、日々ご相談をいただいています。
NECが考える、企業がケアすべき情報の流出経路とその脅威、そして今求められる対策について、CG動画(5分)でコンパクトにご紹介します。

【診断】設問に答えてその場でわかる!
あなたの会社にいま必要な内部情報漏えい対策とは?

画面キャプチャ

昨今の相次ぐ情報漏えい事件を背景に、システム管理者の不正防止といった内部対策の重要性が増しています。この診断を通して貴社の対策状況を把握いただき、今後必要となる対策のヒントとしてご活用ください。

ページの先頭へ戻る