シマンテックは4月23日、同社のSecurity Response Blogにおいて、ランサムウェアを使うサイバー犯罪者による極東地域を狙った攻撃の拡大について解説している。

ランサムウェアは欧州に出現し、その後世界中に拡がった脅威。これまでは世界中の裕福な英語圏地域を主に標的としてきたが、犯罪者は、極東地域の各国への関心を高めているようだという。

極東地域住民の多くは、英語で書かれた脅迫文の内容を理解できない可能性があるため、サイバー犯罪者は、ランサムウェアを各地域の言語にローカライズするようになってきている。

たとえば、2014年12月には日本のユーザーを標的として設計された初のランサムウェアが確認されており、これは、TorLockerの亜種で、シマンテック製品でTrojan.Cryptolockerとして検出される。

また、Crypt0L0cker(Trojan.Cryptolocker.Fとして検出される)と呼ばれる新たな亜種も登場し、極東地域の少なくとも 2カ国向けにカスタマイズされていることが判明している。

多くの場合、感染手法として用いられているのは、悪用キットを介したドライブバイダウンロード。コンピュータがランサムウェアに感染すると、そのコンピュータのIPアドレスの所在地に応じた言語で、感染先のコンピュータが指定以外の国や地域に存在する場合は英語でメッセージが表示される。

日本に存在するコンピュータに感染した場合の脅迫文

「ファイルを復元するための支払い」リンクをクリックすると、1.8ビットコイン(現在の為替レートで約400米ドル)を支払うよう要求する支払いサイトに誘導される。この亜種による攻撃の大半は韓国に対して実行されており、それ以外は日本とマレーシアが同じ程度標的とされていることがわかっている。

Trojan.Cryptolocker.Fが標的としている国

ランサムウェアへの感染防止または低減のために、同社は以下の対策を勧めてる。

  • 利用するコンピュータで、ソフトウェア、OS、ブラウザのプラグインを最新の状態に更新して、攻撃者が既知の脆弱性を悪用するのを防ぐ

  • 総合的なセキュリティソフトウェアを使用して、自分自身をサイバー犯罪から保護する

  • 利用するコンピュータ上に保存されているすべてのファイルを定期的にバックアップすることで、感染した場合でも駆除後にファイルの復元ができるようにする

  • 身代金を支払っても攻撃者が約束通りにファイルを復号する保証はないので、決して身代金を支払わない