新種のランサムウェア:LOCKY

では、国外ではどのような脅威が発生しているか、グローバルセキュリティラウンドアップから、新種のランサムウェア「LOCKY」が急増しているという事例を1つ紹介したい。

図7 2016年第1四半期ランサムウェアファミリ月別検出台数割合

「LOCKY」はランサムウェアファミリの月別検出台数割合で2月に初検出されたが、いきなりの検出数第3位となった。3月にいたっては、全体の42%と半数に近いレベルとなり、頭ひとつ突出した様相に。LOCKYの特徴は、多言語に対応可能な暗号型ランサムウェアである点だ。LOCKYに感染すると、壁紙が脅迫文に変更される(図8)。

図8 LOCKYの脅迫文

日本語も不自然さが少ない。そして、暗号化されるとファイルの拡張子はすべて「.locky」となる(図9)。

図9 LOCKYで暗号化されたファイル

LOCKYの脅迫文をみると、暗号化されたファイルを復号するには匿名ネットワーク「Tor」上のサイトへアクセスするようにと書かれている。脅迫文は日本語だが、誘導先のTor上のサイトは英語表示のみ。復号プログラムは0.5BTC(ビットコイン、2016年2月19日時点で約2万4千円前後)で購入するようにと書かれている。LOCKYの感染経路は、ほとんどがメール経由の感染であった。メール以外の感染経路にはWeb経由があるが、LOCKYではごくわずかだった。

このほか、ランサムウェアの感染状況を分析した結果では、特徴的なことが浮かび上がった。図10は、トレンドマイクロのクラウド型セキュリティ基盤「Smart Protection Network(SPN)」において確認された、ランサムウェアの感染PCの業界別の統計だ。

図10 ランサムウェア検出台数の業種別割合

あくまでも、業種が判明したものだけだが、医療業界がトップとなっている。トレンドマイクロは、これはランサムウェアと無関係ではないと分析。その要因として、以下をあげている。

  • サイバー犯罪者にとって収益をあげる可能性がきわめて高いこと
  • ソーシャルエンジニアリング手法が向上したために感染率が増大したこと
  • 攻撃が巧妙で、十分な活動資金を持つサイバー犯罪者が、世界的に分散して存在していること
  • 医療機関は絶対にオフラインにできない重要なシステムを持つこと

狙われるシステムは、患者の命を預かる医療業務にとって不可欠なものであり、医療機関側も「人質の奪回」に金銭を惜しまないだろうという弱みにつけ込んだ悪質な手口と、トレンドマイクロは断じている。