トレンドマイクロは4月27日、同社のセキュリティブログで、日本語対応したCryptoランサムウェア「TROJ_CRYPWALL.XXQQ」の解説を行った。

「ランサムウェア」とは、侵入したコンピュータを使用不能にする、コンピュータ内のデータを暗号化する、などの方法を用いてコンピュータ使用者に「身代金」を要求する脅迫的活動を行う不正プログラムの総称。同社では特にデータを暗号化する手法のものを「Cryptoランサムウェア」と呼び、日本語表示に対応した「TROJ_CRYPWALL.XXQQ」が、2015年4月17日前後から国内インターネット利用者の環境で検出されていることを確認したという。

この「TROJ_CRYPWALL.XXQQ」は実行されるとコンピュータ内のファイルを暗号化し、次に暗号化したファイルを元に戻すにはどうすればよいかを示す「脅迫メッセージ」を表示する際、感染PCが日本語環境のものだった場合は日本語でメッセージを表示する。

「TROJ_CRYPWALL.XXQQ」が表示する日本語メッセージ(HTML版)

検出が確認された環境では 「stinger32.exe」などのファイル名でインターネットからダウンロードされており、セキュリティ対策製品などに偽装してダウンロードさせる手口が推測される。確認から1週間で60件以上を検出しているが、同社ではまだ広く被害が拡散している状況ではないものと判断している。

この「TROJ_CRYPWALL.XXQQ」は、侵入した環境の言語設定に合わせて、日本語以外にも英語、韓国語のメッセージを表示可能な多言語対応Cryptoランサムウェアだが、表示する日本語の脅迫メッセージの文面に、他の不正プログラムやスパムメールで見られるような、日本語としておかしな表現はあまりないので、ある程度日本語が堪能な協力者がいるものと推測されている。

身代金の要求メッセージなどを日本語で表示する Cryptoランサムウェアは、2014年3月に確認された「TROJ _ CRITBIT.B」、また2014年12月に登場した「TROJ _ CRYPBIT」の2種が確認されており、後者は国内の攻撃者が作成、頒布に関与したものと考えられているが、現在、国内の広い範囲での被害は確認されていない。

これまでは日本語対応したランサムウェアがほとんど存在しなかったため、日本でのランサムウェアの被害は、「流れ弾」的な被害であると考えられてきた。多言語対応でありながら、自動翻訳的でない表現の日本語メッセージを表示する「TROJ_CRYPWALL.XXQQ」の登場は、日本におけるランサムウェアのひとつの転換点になる可能性があり、今後、国内外の攻撃者による日本を標的としたランサムウェアの動きが活発化する危険性を無視できない状況になったとしている。

今回確認された不正プログラムは、同社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の機能である「ファイルレピュテーション(FRS)」技術により、順次検出対応している。