ランサムウェア動向の2016年上半期おさらい、「Locky」再来も

2016年上半期のセキュリティ脅威を賑わせたランサムウェアは、どんな状況だったのか。セキュリティ各社のレポートから読み解く。

[國谷武史，ITmedia]

　2016年上半期の国内のセキュリティ動向では、「ランサムウェア」による脅威の拡大が注目された。セキュリティ各社のレポートから状況を振り返ってみたい。

　ランサムウェアの大きな特徴は、コンピュータをロックしたり、ファイルを暗号化したりして使用不能にさせ、「その状態を解除したいなら金銭を支払え」とユーザーを脅す点だ。困り果てたユーザーが仮想通貨などで攻撃者に身代金を支払うケースも後を絶たず、攻撃者にとっては金銭を得やすい手法として多用するようになったとみられる。

　トレンドマイクロによると、1月〜5月に全世界で6600万件以上のランサムウェア関連の脅威が検出された。国別で被害が多いのはブラジル、米国、トルコなど。日本は14位と、これらの国に比べて少ないものの、特に被害に遭った法人から報告件数は3月までの1年間で25倍に増えているという。北米ではランサムウェア感染によって業務システムやデータを使えなくなった病院や大学が攻撃者に身代金を支払ったことを公表している。

　感染経路ではメールが64％で最も多く、34％がWebサイトだった。USBメモリなども2％あった。メールを使う手口では、不正なJavaScriptやマクロなどが数多く用いられた。受信者がメールに添付されたファイルを開いたり、メールに記載されたリンク先のWebサイトを閲覧したりした際にこれらの不正なプログラムが実行され、最終的にランサムウェアがダウンロードされてしまうという。

ランサムウェア感染のイメージ（出典：トレンドマイクロ）

　攻撃者は、メールから直接ランサムウェアに感染させるというより、感染までに複数の段階を経る場合が多いようだ。

　またFireEyeは、2月〜3月に国内で感染被害が目立ったランサムウェアの「Locky」が攻撃を再び活発化させていると報告した。「Locky」はファイルの拡張子を「.locky」に変更して使用不要にする。

Lockyの活動量の推移（出典：FireEye）

　同社によれば、6月21日〜23日にLockyに感染させるためのスパムメールが日本や米国、韓国を中心に多数観測され、攻撃全体の約半数（45.99％）が日本を狙うものだった。標的にされた企業は、通信の33.23％を筆頭に、サービス・コンサル（20.94％）、製造（15.74％）、交通（8.78％）、保険（6.33％）と、多岐にわたるという。

　スパムメールは、主に未払い料金の請求を装う内容で、受信者のコンピュータにLockyを送り込むための不正なプログラム（ダウンローダー）が、ZIP形式のファイルとして添付されている。さらには、メールの解析や仮想的なコンピュータ環境（サンドボックス）

の分析で攻撃を検知されないための方法を取り入れていることも確認された。

Lockyに感染させるスパムメールの内容（出典：FireEye）

　Locky攻撃の再燃は今後しばらく続くとみられ、FireEyeは国内の個人や法人に注意を呼び掛けている。