トレンドマイクロは3月16日、日本語表示に対応したAndroid版ランサムウェアを初めて確認したと発表した。ネット上で被害報告が相次いでおり、同社は注意喚起を行っている。

このランサムウェアに感染すると「MINISTRY OF JUSTICE」という名称で日本語の身代金要求メッセージを表示する。トレンドマイクロによると、Androidのランサムウェアとして日本語表示に対応したものは初めて。

日本語に対応したランサムウェア

PCを狙ったランサムウェアは現在「暗号化型ランサムウェア」が主流となっているが、今回のランサムウェアはその1世代前に流行した「端末ロック型ランサムウェア」で、端末操作を不可能にすることで端末自体を"人質"にとる。現時点で拡散経路は特定できていないとのことだが、Google Play以外の経路で「System Update」というアプリ名称で配布された可能性があるという。

このアプリをインストールしようとすると、通常のアプリと同様に権限を要求される。続けて「セキュリティポリシーをアクティベートしますか?」というメッセージが表示され、端末管理者設定の有効化を要求してくる。この要求に応じて「有効にする」を選ぶと、インストールされたランサムウェアにデバイス管理APIの権限が付与され、最終的に端末が"人質化"してしまう。

通常のアプリのインストールプロセスのように見えるが、セキュリティポリシーをアクティベートすると、デバイス管理APIの権限が付与されてランサムウェア自身のアンインストールを困難にする

その後、時間を置いて「MINISTRY OF JUSTICE」という名称で「罰金」の支払いを要求する画面が日本語で表示される。このランサムウェアは、罰金支払いの要求以外にも「犯罪者情報」として、感染した端末のキャリアやIP情報などを表示し、利用者の身元を特定したかのような"工作"も行う。

こうした工作で犯罪者が支払わせようとする「罰金」は1万円で、iTunesギフトカードで支払いを行わせようとする。ギフトカードを用いた支払いは、一種のトレンドとなっているものの、MINISTRY OF JUSTICE(法務省)を名乗っておきながらiTunesギフトカードで支払わせる方法はツメが甘い。

また、日本語についても「国土安全保障省」という米国省庁の名称や、「残り時間は、罰金を支払います」などの残念な表現が散見されることから、犯罪者に支払うことなく、セーフモード起動によるアンインストールを行うようにトレンドマイクロでは呼びかけを行っている。

デバイス名や携帯キャリア名で特定したかのように見せかけるが、どちらも端末から容易に取得できる上、該当する属性はいくらでも存在する

罰金を要求しながらもiTunesギフトカードのコードを入力させるランサムウェア

同社では、被害にあわないようにする対策として、Google Playや携帯キャリア以外のアプリマーケットからのアプリダウンロードを行わないようにすることや、そうしたアプリをインストール出来ないようにする「提供元不明のアプリのインストールを許可する」機能のチェックボックスの確認を行うように呼びかけている。また、実行できる環境は限られるが、Android 6.0(Marshmallow)にアップデートできるAndroid端末であれば、ランサムウェアが5.0以前の環境でしか動作しないため、アップデートを行うように推奨している。