ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

ランサムウェア「Jaff」攻撃の第2波発生、メール経由の感染にも引き続き警戒を

» 2017年05月25日 09時00分 公開
[鈴木聖子ITmedia]

 スパムメールを通じて拡散するランサムウェア(身代金要求型マルウェア)「Jaff」の内容が改変され、新たな攻撃の波が発生しているという。世界で猛威を振るったランサムウェア「WannaCry」の陰で、別のマルウェアによる脅威が見過ごされている可能性もあるとして、米セキュリティ機関のSANS Internet Storm Centerが注意を呼び掛けた。

Jaffについて警告を発するSANS 「Jaff」の脅威を警告するSANS Internet Storm Centerの記事

 SANSによると、Jaffは5月11日に出現し、5月23日にはJaffに感染させようとするスパムメールが再び大量に出回った。被害者のマシンに表示される画面なども、この日から刷新された。

 問題のスパムメールは「Invoice」の件名で届き、請求書に見せかけたPDFファイルが添付されている。このPDFには悪質なマクロが組み込まれたWordファイルが仕込まれていて、ユーザーがWindowsでPDFを開いてWord文書を開くことに同意し、マクロを有効にするとJaffに感染する。

 被害者のマシンには英語で「あなたのファイルは暗号化された!」という警告が表示され、身代金として0.35630347ビットコインを要求されるという。

Jaff 「Jaff」に感染するとファイルが暗号化され、壁紙がこのように変わる(画像はCisco Japan Blogから転載)

 Jaff以前にも、同じPDFとWordを使った「Locky」「Dridex」などのマルウェアが相次いで出回っていたが、「人々はWannaCryのニュースに気を取られ、Jaffの脅威が続いていることを忘れている可能性がある」とSANSは警告する。

 ただ、Windowsの脆弱(ぜいじゃく)性を突いてネットワーク経由で感染するWannaCryと違って、Jaffの場合は添付ファイルを開こうとするとAdobe ReaderやMicrosoft Wordの警告が表示される。このため、広く知られている“怪しいメールへの対処法”を守っていれば感染する確率は低いものの、「犯罪集団が利益を上げている限り、この種のスパムは今後も続くだろう」とSANS研究者は予想している。

Copyright © ITmedia, Inc. All Rights Reserved.