脅迫するランサムウェア、日本や韓国への攻撃を本格始動

欧米で猛威をふるった「TorrentLocker」の感染が日本や韓国でも目立ってきた。感染PCのIPアドレスに応じた言葉で脅迫文を表示する。

[ITmedia]

　PCなどのデータを勝手に暗号化して金銭を要求するランサムウェア「TorrentLocker」や「Cryptolocker」の亜種が日本や韓国のユーザーを本格的に狙い始めたようだ。シマンテックやキヤノンITソリューションズが4月24日、相次いで注意を呼び掛けた。

「Trojan.Cryptolocker.F」の感染状況（シマンテックより）

　これらのランサムウェアは2014年に欧米地域で感染を広げており、年末には日本語で脅迫文を表示するタイプも出現していた。セキュリティ企業ESETの国内代理店のキヤノンITソリューションズによると、4月中旬からランサムウェアに感染したユーザーの相談が増加している。シマンテックによれば、Cryptolocker亜種の「Trojan.Cryptolocker.F」に感染したユーザーの7割が韓国を占めており、日本のユーザーも14％を占めている。

　TorrentLockerなどの亜種は、感染端末のIPアドレスの位置情報に応じて日本語や韓国語、英語で脅迫メッセージを表示。Q&Aのようなコンテンツを見せつつ、1.8ビットコイン（約4万8000円）を支払えばファイルを復元するとうたっている。

英語と日本語の脅迫メッセージ（キヤノンITソリューションズより）

韓国語の脅迫メッセージ（シマンテックより）

　ランサムウェアは、メールなどに添付されたWordファイルのマクロのスクリプトをユーザーに実行させる手法などで感染する。感染時にメールクライアントのアドレス帳データを盗むタイプも存在するという。

　シマンテックやキヤノンITソリューションズではセキュリティソフトでこれらのランサムウェアや亜種を検知できるようにした。