トレンドマイクロ株式会社は、ランサムウェアの拡散を目的とした、総務省をかたる日本語マルウェアスパムの流布を確認しているとして、注意を喚起している。
マルウェアスパムの件名は、「【重要】総務省共同プロジェクト コンピューターウィルスの感染者に対する注意喚起及び除去ツールの配布について」で、トレンドマイクロが2016年10月31日に確認している。メールの送信元は、匿名ネットワーク「Tor」を利用する海外のフリーメールサービス「SIGAINT」で、送信者は秘匿されているという。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の統計では、11月10日現在で日本国内で30件ほどしか確認されておらず、広範囲に流布されているものではない。
しかし、同様の手口の日本語マルウェアスパムは、10月以降に繰り返し確認されている。トレンドマイクロによれば、日本語のマルウェアスパムの占める割合は、全体のわずか3%にすぎないが、こうしたマルウェアスパムは、ランサムウェアを使用するサイバー犯罪者が日本を標的にし始めたこと示す兆候だという。
メールには、2つのPDFファイルが格納された圧縮ファイル(ZIP)が添付されている。うち1つは、「マルウェア(VAWTRAK)除去ツール設定ガイド」という名前で、タスクマネージャーですべてのプログラムを終了させた上、アンチウイルスを停止し、さらに、Windows Defenderも無効化することを促す内容となっている。
マルウェア(VAWTRAK)除去ツールはメールには添付されておらず、「~設定ガイド」内に記載された海外クラウドストレージサービス「MEGA」のURLからダウンロードされる。このランサムウェアは、トレンドマイクロでは「Ransom_MISCHA.E」として検出されるもので、英語のマルウェアスパムにより現在大量に出回っているランサムウェア「LOCKY」ではないことが、このマルウェアスパムの特徴となっているという。
トレンドマイクロでは対策の方法として、常に最新の脅威動向を知ることで、新たな手口にだまされないよう注意を払うことを挙げている。また、スパムメール対策、不正なサーバーへの接続ブロック、PC内部でのプログラムの挙動監視といった機能を備えた総合セキュリティ製品の導入や、別PCや外付けハードディスクなどへのファイルのバックアップも推奨している。
なお、重要なバックアップについては、3つ以上のバックアップコピーを、可能なら2つの異なる書式で用意し、そのうちの1つをネットワークから隔離された場所に保管する「3-2-1ルール」によるバックアップが推奨されている。
関連リンク トレンドマイクロセキュリティブログの該当記事 総務省からの注意喚起 ICT-ISACからの注意喚起
関連記事
マカフィー、2016年の10大セキュリティ事件ランキングを発表、1位は振り込め詐欺
2016年11月10日
国内70以上のサイトに身代金要求ウイルスが仕掛けられる、FlashやJavaなどの脆弱性を突いて閲覧者のPCに感染
2015年11月2日
不正送金ウイルス感染端末が国内に4万4000台、警視庁が特定、リモートで“無力化”!?
2015年4月10日
「Tor」バックドア感染被害1日120件超、Android遠隔操作アプリの日本流入も
2013年11月11日