Wordファイルを開くだけでPCが乗っ取られるランサムウェア「Locky」

『The Hacker News』

March 18, 2016 12:30
by 『The Hacker News』

もし会社の請求書のように見えるMicrosoftのWordファイルが添付されたメールを受け取ったら、これをクリックする前によく考えたほうが良い。このファイルをクリックするとシステムに不具合が生じ、悲惨な破壊状態につながる可能性がある。

人目を引くテーマをスパムメールや感染したWebを利用し、危険なランサムウェア「Locky」をシステムにインストールするという手法を攻撃者は取り入れている。

もしネットワーク共有で拡張子「.locky」のファイルを見つけた場合はおめでとう! あなたは感染しており、たった2つの解決策しか残されていない。一からPCを再構築するか、身代金を払うかのどちらかだ。

Lockyによる新たな感染件数は、毎時間4000件の勢いで広まっている。ということは、1日でおよそ10万件の新たな感染が発生しているということになる。

「マクロウイルスが帰ってきた

2016年にもなっても、マクロを有効にしたMicrosoft Wordドキュメント1つでシステムが危機に陥るという事実は受け入れがたい。

これは、ハッカーの戦術が非常に優れていると評価すべき点である。

ランサムウェアLockyはMicrosoft 365もしくはOutlookから、メール添付の請求書(たちの悪いマクロが組み込まれたWordファイル)という形で配布される。

マクロウイルスの概念は1990年代に遡る。みなさんは、マクロを含んだWordファイルを開こうとしたとき、警告画面が突然ポップアップした経験があるだろう。

そして今、マクロウイルスが帰ってきた。サイバー犯罪者が、インターネットユーザーにMicrosoft Officeのドキュメントの中でも特にマクロが自動的に起動するWordファイルを開かせる新しい方法を見つけたのだ。

Lockyの動作

ユーザーが悪意のあるWordドキュメントを開くと、.docファイルがシステムにダウンロードされる。しかし危険が迫るのは、ユーザーがファイルを開いてコンテンツが暗号化されているのを発見し、マクロを有効にするかどうか尋ねるポップアップが出てからだ。

どのようにして酷い状態になるか:

  • 被害者がマクロを有効にことで悪意あるマクロが実行されると、リモートサーバーから実行ファイルがダウンロードされ、これを起動されることになる。
  • この実行ファイルはLocky以外の何者でもない。これが起動すると、コンピューター上とネットワーク上の全てのファイルの暗号化を開始する。

Lockyはほぼ全てのファイル形式に影響し、全ファイルを暗号化して拡張子「.locky」のファイル名に変更する。

暗号化した後、このランサムウェアは感染した被害者に対して指示を行うメッセージを表示する。それはTorをダウンロードし、次の指示と支払いのために攻撃者のWebサイトを訪問しろというものだ。

Lockyは、解読キーを取得するために0.5〜2ビットコイン(約200ドル〜約800ドル)を支払うよう被害者に求める。

Lockyに関して興味深いことの一つとして、これが多数の言語に翻訳されているという点がある。これによって攻撃は英語圏を超え、被害者を数多く生み出している。

Lockyはネットワークベースのバックアップファイルまでをも暗号化する

この新しいランサムウェアは、ネットワークベースのバックアップファイルを暗号化する機能も持つ。そこで将来的なランサムウェア感染に対応するためのバックアッププランとして、第三のストレージにデリケートな情報や重要なファイルを保存することを検討すべきだ。

BleepingComputer の研究者であるKevin BeaumontとLarry Abrahmsが暗号化マルウェアLockyの存在を初めて発見した

Lockyの影響を確認するために、KevinはLockyのトラフィックを傍受することに成功し、この暗号化マルウェアが広範囲に急速に広まっているということに気付いた。

「1日で10万の新しいエンドポイントがLockyに感染するだろうと私は予測する。これは本当に深刻なサイバーセキュリティインシデントということになる。3日間で約25万台のパソコンが感染することになるのだ」とKevinはブログに投稿した
 
1時間あたりの感染状況:
影響の大きな国にはドイツ、オランダ、米国、クロアチア、マリ、サウジアラビア、メキシコ、ポーランド、アルゼンチン、セルビアが含まれている。
 
執筆者:Rakesh Krishnan
Rakesh Krishnan は、The Hacker News (THN)において実習中のセキュリティ&テクノロジーライターである。彼はセキュリティエバンジェリストであり、情報セキュリティやペネトレーションテストに情熱を注いでいる。彼の興味のある専門分野は、スパイ、ビットコイン、ダークウェブその他諸々だ。
 
翻訳:編集部
原文:How Just Opening an MS Word Doc Can Hijack Every File On Your System
※本記事は『The Hacker News』の許諾のもと日本向けに翻訳・編集したものです

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…