身代金要求ウィルスこと”ランサムウェア”をシマンテック社が日本国内で初めて採取:日経報道2015/01/03

2015年1月3日付けの日経新聞報道「パソコンロックし「身代金」要求 日本製ウイルス初確認 犯行予告も日本語で」にて、日本初のランサムウェアに分類されるウィルス(マルウェア)がセキュリティベンダー大手のシマンテック社により観測されたと報道されました。
毎年、年始年末にこうしたウィルス情報が出てくることは珍しくありませんが、今回の身代金要求ウィルスはパソコンの起動そのものにロックをかけられる悪質性もあり、また、日本国内で初の発見とも有りITセキュリティ界隈はやや騒ぎとなっております。

身代金要求ウィルス:ランサムウェアについては、こちらの記事を御覧ください。

ロック画面解除に身代金を要求される「ランサムウェア」に注意してください!Windows PC、iPhone、androidスマホなど幅広く世界で蔓延中!

 

予想される危険性と感染範囲

このウィルスの出処として、中国のオリジナル(中国のものもロシアの改変もののウィルスの可能性がありますが)をリビルドして作成された可能性が疑われています。
さらに、実際の画面情報など掲載ができませんがそこから推測されるところ、巨大掲示板2ちゃんねるの匿名の何者かによる作成も疑われています。
ただし、オリジナルがあるだけにフェイクではないとされており、実際にロック機能が作動するようなので注意が必要とされています。

現在、Windowsパソコンでの感染が主なようなので、気をつけるのは以下のとおりです。

  • ソフトウェアの新規インストール
  • FLASH、Adobe Reader、JAVAなどのアップデート要求の正常性確認
  • あやしいサイト、アングラサイトへのアクセスを回避
  • Internet Explorerの利用を控える

感染ルートがはっきりしないためさだかなことがいえませんが、防衛策をとりつつ不必要な操作をしばらくは控えたほうがよさそうです。

 

Google社による、Windows8.1の権限昇格問題など、少し騒がわしい2015年のはじまりです。

ロック画面解除に身代金を要求される「ランサムウェア」に注意してください!Windows PC、iPhone、androidスマホなど幅広く世界で蔓延中!

「ランサムウェア(Ransomware)」というまた耳慣れないあやしいウィルス(どちらかというとマルウェアと思いますが)世界中で蔓延しています。
これまで英語圏での感染が多かったのですが、日本でもここ数日で”日本語”で使用不可能になったロック状態を解除するために金銭を要求する画面が現れた報告が上がっています。
感染ルートにより、各国それぞれiPhoneが感染したり、はたまた、Windowsパソコンがやandroidスマートフォンが完成したりと、分布が現れてきており、犯罪組織がそれぞれ模倣しあっている様子がうかがえます。
2014年5月末の時点で、このiPhoneへの感染が驚くことで、詳細は待たれますが、セフト(盗難)対策機能のハッキング(バグがある?)か、Apple社の審査をすり抜けたアプリの可能性があります。

ランサムウェア(Ransomware)とは?

ランサムウェアとは、マルウェア(Malware)が「マリシャス(悪意のある、疑わしき) ソフトウェア=Malicious softWare」の造語であるように、「Ransom(身代金) softWare」の略語、造語です。
これに感染したコンピュータやシステム、スマートフォンは、オーナーの自覚なく途端にアクセスや利用を制限され(システムロック)、その直後、この制限の解除のためには対価が必要として、例えば「●●の口座へ¥○○円送金しろ(paypalやクレジットカード、Bitcoinのケースが多いようです)」などのメッセージが画像付きで表示されます。
それが、さらに各国の公的機関、特に、警察や捜査関係などを名乗ったりするケースも有り、ほとんどの場合、困惑以外の何物でありません。
まさしく、突然振りかかる見に覚えのない悪夢に対し、身代金を要求されるわけなので、これまでの秘密裏に情報送信したり、知らぬ間に他のシステムを汚染、感染させるなど、ある意味サイレントなウィルスに対して、かなり凶悪な犯罪といえるでしょう。

何かの操作(特定のアプリのインストール、ネットワーク経由のハッキング、etc)で、PCやスマホのシステムドライブが特殊な権限で暗号化されることで、突如本来のユーザーがログインできなくなる、というイメージが伝わりやすいでしょうか。
暗号化するということは、それを解除する(復号化する)キー(鍵)が存在することになります。

つまり、乗っ取った上で身代金を要求する、ネットワーク越しのハイジャッカーといえるでしょう。

これまで日本でも、不正請求のようにインターネットブラウザーが感染し、画面から金銭振込要求画面が消えないトラブル(技術的には解決されても、事件として摘発があった報道はあまり聞きませんが)がありましたが、まだ、パソコン上の他の操作、例えばファイル操作やワード、エクセル、電源のオン・オフの自由はありました。
しかし、このランサムウェアは起動直後からコントロールが奪われるため(システム権限の強奪・奪取)、一般ユーザーには復旧のために打てる手がナニもないという絶望感があります。
(起動に必要なシステムドライブ上のMBR=マスターブートレコードやパーテイション情報を操作してくるものもあるようです)

もともと、ロシアで最初に発見されたとされ、その後各国に拡散していったとされています。
現在も、ランサムウェア詐欺の規模は国際的に成長しており、Wikipediaによると、2013年6月のセキュリティソフトウェアベンダーのMcAfee(マカフィー)から「最初の四半期で25万以上のランサムウェアのユニーク(個別)なサンプルを採取していたことを示すデータ」が公表されています。
2012年の第一四半期よりも倍加の曲線をたどっており、この2014年の相次ぐ報道はある意味遅すぎたのかもしれません。

ランサムウェア対策は?(感染前の防護手段)

1.信じられるアプリ・ソフトウェア以外はインストール(実行)しない

まずもっとも大事なことは、不用意にアプリ(ソフトウェア)をダウンロード・インストールしないことです。
そして、インターネット閲覧中も同様に、不用意な画像や注意警告をクリックしないことです。
インターネット閲覧中に「レジストリにエラーが発生しています」などと嘘のバナーで惹きつける悪意のあるソフトウェアに感染している例は、この2014年でもほぼ毎月遭遇します。

ウィルス対策ソフトやセキュリティがいくら最新でも、ユーザーが自らすすんで入手してきたプログラムを100%止めることはできません。
さらには、誰かの感染報告が無い限り、ウィルス対策ソフトのワクチンも対応しませんし、異常な振る舞いを起こしそうなプログラムも4~5%はくぐり抜けてきます。

2.Java、Readrer(Acrobat Reader)、Flashなどの組み込みプログラムを常に最新に保つこと

ほとんどのデバイスに組み込まれており、ほとんどの一般ユーザーは意識すらしていないことが多いこの御三家。
Windows XPを2014年4月9日のサポート期限終了後も利用するためのセキュリティTIPS」でも説明していますが、コアシステムに近い権限までクローズするため、当然注意が必要です。

3.とにかくデータや設定のバックアップを!

現在、GoogleドライブやOneDrive、Dropboxなど無料のクラウドも そろってきております。
ChromeやFirefoxではブックマークもクラウドで保管できますし、メールも何とかなりそうです。
自己撮影の画像や動画データファイルは、ほとんど感染の可能性がありません。

ただただ、バックアップの慣習が広まることを祈るばかりです。

 これらランサムウェアの撲滅は、これまでのウィルスと同様に今後も不可能だと考えらます。
模倣犯も増え、ベンダーは、より一層のサポートコストが要求され、ひいてはユーザーの支払いに跳ね返ってくることでしょう。

ランサムウェア感染後の復旧手段に対する考察

これは類推の範疇ですが、論理的に暗号化されたことによるロック状態は、それとセットになったキーさえあれば復旧は可能です。
もっと言うと、ランサムウェアでもその手口を模倣しているだけだけの暗号化ロックのない低レベルのケースも存在するようですがここでは割愛します。

さて、このキーですが、 それこそWindowsパスワードやその他のスマホと同様に、そのロックされたデバイスに保存されているものなのでしょうか?

残念ながら、まったくその可能性はありません。

では、その復号のためのキー(パスワード)は解析できるか?

これも、わざわざ今どきの高性能なハードウェアに4桁から10桁程度のパスコードを設定するとは考えられません。

 

 ただし、データドライブを区分している場合、いくらかのパーテイションテーブルの情報を元にファイル自体に復旧できそうな可能性はありそうですが。
少し闇が深いですね。

 

各OSベンダーの対応を待ちましょう。

・ランサムウェアの除去 | ランサムウェアとは | Microsoft セキュリティ

http://www.microsoft.com/ja-jp/security/resources/ransomware-whatis.aspx

 

 

2011.4.20:アンドロイド スマートフォンに忍び寄る、ウィルス・マルウェアの脅威、Dr.Web社「Android.Spyの新たな亜種が登場」として公表

2010年の秋頃から、「Android Spy」の呼称で広く知られるようになった、Androidを搭載したスマートフォンなどを狙ったマルウェア(悪意のあるプログラム)ですが、この度、Dr.Web社によりその亜種や派生種の検知・発見・対応が公表されました。

今回発見されたものは「Android.Spy.54」とされ、これまでの原種がトロイの木馬行為として端末に侵入後密かにSMSスパムを送信するのに加え、スマートフォン上のブラウザのブックマークに特定のWebアドレスを追加する模様。 なお、この新しいマルウェアは中国から来た可能性が高いことも報じています。

マルウェア「Android Spy」について

Android Spyの活動を解析した結果、その主な目的はスマートフォンのID情報の収集、サーチエンジンフォーム内に特定のサーチパラメータを設定してリンクを開くことが判明しています。

Android Spyは、いったんスマートフォンなどにダウンロード感染され侵入を果たすと、通信やショートメッセージの情報の読み取り、変更、SMSの送信、位置の特定に加えて、Android Spy自身の自動起動をも可能にするそうです。
スマートフォンの電源を入れるとダウンロードされる亜種も存在が確認されています。

なお、Android.Spy.54は中国のインターネットリソースwww.nduoa.com(Android向けのアプリケーションを提供するWebサイト)上で発見されています。

今後は、特に信頼のおけるサイトからのみアプリ導入するなどに、アンドロイド ユーザーにはその自由度と等価にリスクをコントロールすることが求められています。

情報の詳細は、株式会社Doctor Web Pacific(日本)の以下のページでご確認ください。

「Android.Spyの新たな亜種が登場」

http://news.drweb.co.jp/show/?i=403&lng=ja&c=2

偽セキュリティソフト「Security Defender」に注意!手動除去方法解説

現在、悪意のあるサイトや電子メールで「Security Defender(セキュリティ ディフェンダー)」なるマルウェア(悪意のあるプログラム・ソフト)が猛威をふるいつつあります。
そのふるまいは、以前から多くある同類のインチキウィルス対策ソフト・セキュリティソフトと同様、してもいないウィルス・スパイウェアスキャンでパソコン上にいかにも深刻なウィルス感染や情報漏洩があると促して(実際にはないにもかかわらず)、完全な除去機能を実行するためのアップグレード費用・料金として、クレジットカード情報による送金、または、クレジットカード情報・個人情報を盗むというモノ。

このインチキセキュリティソフトは、ウィルス対策ソフトやマルウェア・スパイウェア除去ソフトにより、安全に駆除が可能ですが、更新状況など場合によっては対応していないことも。
その場合、手動で除去する必要があります。

マルウェア:「Security Defender(セキュリティ ディフェンダー)」手動除去手順

  1. 「Security Defender」は、Windowsパソコンの起動時に、自動起動ソフトのひとつとして実行されるので、それを防止するためにセーフモードでの起動が必要です。
    セーフモードは、Windowsパソコンを最低限の機能で起動させるWindowsに用意された起動モードのひとつです。
    セーフモードでWindowsを起動する方法は、パソコンの電源を投入後、利用しているパソコンメーカーのロゴ画面が消える手前から、すぐキーボードのF8キーをゆっくり連打し続けて下さい。
    ※本来はタイミングがありますが、わからないかたむけの説明です。
    押すことで、起動しないように、セーフモードにコンピュータを再起動し、選択のいずれかセーフモードまたはセーフモードとネットワーク(インターネット接続が必要な場合)。 また、タスクマネージャを実行し、セキュリティDefenderのプロセスを終了します。
  2. デスクトップが表示されてパソコンの動作が落ち着いてきたら、画面左下のWindowsマークのスタートボタンからメニューを開き、「ファイル名を指定して実行」を選び、そこに” regedit ”と入力してください。
    すると、レジストリーエディター(レジストリエディタ)という、Windowsの重要な設定ファイルを編集するプログラムが起動してきます。
  3. ※)注意
    レジストリーは、Windowsの安定稼働に非常に重要な役割を持っています。
    レジストリー操作や編集作業自体は、たいした難しさはありませんが、Windowsのファイル操作や設定・調整などの経験があまりない場合は、プロサポートなどへの依頼がベターです。
  4. レジストリエディタで、以下のエントリー(記述)を削除します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56a10a26-dc02-40f1-a4da-8fa92d06b357} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “56a10a26-dc02-40f3-a4da-8fa92d06b357_33″ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “56a10a26-dc02-40f3-a4da-8fa92d06b357_33″ HKEY_CLASSES_ROOT\CLSID\{56a10a26-dc02-40f1-a4da-8fa92d06b357}

  5. つぎに、「Security Defender」のDLL(ダイナミックライブラリ)の登録を手動で解除します。
    管理者権限でコマンドプロンプトを開き、” regsvr ”コマンドを実行します。

    regsvr32 /u “%Temp%\[RANDOM CHARACTERS].dll”
    regsvr32 /u “C:\Program Files\Security Defender\Security Defender.dll”

    最後に「Security Defender」がパソコン内に組み込んだプログラム・データなどを手動で削除・除去します。
    ※状況・環境によっては、ファイル名・ディレクトリ名(フォルダ名)が変わってきますので、適宜読み替えるか、ファイル名で検索してください。

    c:\Program Files\Security Defender
    c:\Program Files\Security Defender\Security Defender.dll %UserProfile%\Start Menu\Programs\Startup\56a10a26-dc02-40f3-a4da-8fa92d06b357_33.lnk
    c:\Documents and Settings\All Users\Start Menu\Programs\Startup\56a10a26-dc02-40f3-a4da-8fa92d06b357_33.lnk
    c:\Documents and Settings\All Users\Application Data\56a10a26-dc02-40f3-a4da-8fa92d06b357_33.avi
    c:\Documents and Settings\All Users\Application Data\56a10a26-dc02-40f3-a4da-8fa92d06b357_.mkv
    c:\Documents and Settings\All Users\Application Data\56a10a26-dc02-40f3-a4da-8fa92d06b357_33.ico
    %Temp%\[RANDOM CHARACTERS].dll
    %UserProfile%\Desktop\Security Defender.lnk 
    %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security Defender.lnk

以上で完了です。
おつかれさまでした^^

 

「Security Tool」という名の日本語画面で警告を促す、偽セキュリティ対策ソフトにご注意を!

問題の偽ソフト「Security Tool」画面

2010年8月5日、ウィルスバスターのソフト会社であるトレンドマイクロ株式会社によると、日本語を含む25言語の表示に対応した偽物のセキュリティソフト「SecurityTool」が見つかったそうです。

この「SecurityTool」、20カ国もの言語に対応して表示がかわることで安心感を与え、実際はなんの効果もないのにそのままパソコンに居座るというやっかいな代物。
さらには、アップデート時などに画面右下に表示される”バルーン”まで日本語で警告表示します。

このインチキソフト、「ガンブラー攻撃」でダウンロードされることが確認されているそうです。
また、SecurityToolは、セキュリティソフトを装うトロイの木馬「TROJ_FAKEAV」として検知されている模様。
迷惑メールに添付された不正なHTMLファイルを実行したユーザーが不正なサイトに接続され、不正プログラムがダウンロードされる被害が6月より報告されているそうです。

【2010年7月】Windowsで、ウィルスが仕込まれたショートカットファイルのアイコンを表示するだけで感染する危険性

マイクロソフトは2010年7月17日、Windowsに新たな脆弱(ぜいじゃく)性が見つかったこ とを明らかにした。Windows上で、細工が施されたショートカットファイルのアイコンを表示 するだけで、ウイルスを実行される危険性などがある。実際、今回の脆弱性を悪用したウイ ルス攻撃(ゼロデイ攻撃)が確認されている。セキュリティ更新プログラム(修正パッチ) は未公開。同様の攻撃が広まるのは時間の問題だとして、セキュリティ企業各社は注意を呼 びかけている。

今回報告されたのは、ショートカットファイル(拡張子がlnk)の処理に関する脆弱性。 細工が施されたショートカットファイルのアイコンを、エクスプローラーなどで表示するだけ で、そのショートカットファイルで指定されたファイルが勝手に実行されるという。

例えばあるフォルダーに、細工を施したショートカットファイルと、ウイルスファイルを 用意。ショートカットファイルでは、そのウイルスを指定しておく。すると、ユーザーが そのフォルダーを開いただけで、ショートカットファイルがウイルスを実行。ウイルスに 感染することになる。

実際、今回の脆弱性を悪用したウイルス攻撃が確認されている。この攻撃ではUSBメモリー が使われている。攻撃用のUSBメモリーには、悪質なショートカットファイルとウイルスが 保存されている。このUSBメモリーをパソコンに接続し、保存されているファイルを表示する だけで、ウイルスに感染してしまう。

一般的なUSBメモリー悪用ウイルス(USBウイルス)とは異なり、自動再生(自動実行)機能 を無効にしていても防げない。USBメモリーの中身をエクスプローラーで表示するだけで被害 に遭う恐れがある。

また、今回の脆弱性は、USBメモリーを使わなくても悪用可能とされている。Windowsのファ イル共有やWebDAV経由でも悪用できるという。例えば、ファイルサーバーやWebサーバーに 悪質なショートカットファイルとウイルスを置いておけば、該当のフォルダーを開いただけ でウイルスに感染する。

現時点では、今回の脆弱性を悪用した攻撃は限定的だという。だが、脆弱性の悪用が容易 であり、なおかつ悪用方法が公開されているため、セキュリティ組織のサンズ・インスティ チュートなどでは、攻撃が広まるのは時間の問題としている。

影響を受けるのは、現在サポート対象となっているすべてのWindows。Windows 7やWindows Server 2008 R2といった最新版のOSも影響を受ける。Windows 2000とWindows XP SP2は「影 響を受けるソフトウェア」に含まれていないが、これは、2010年7月14日にサポートが終了し たため。サンズ・インスティチュートなどでは、これらも影響を受けるだろうとしている。

修正パッチは未公開。マイクロソフトでは、回避策として「ショートカットファイルのア イコンを表示しないようにする」「(WebDAVで利用される)WebClientサービスを無効にする 」を挙げている。これらの具体的な手順は、マイクロソフトの情報に詳しい。

ただしセキュリティ企業などは、これらの回避策は現実的ではないと指摘。特に企業や組織 などでは、実施するとユーザーが混乱するだろうとしている。

そのほかの回避策としては、ウイルス対策ソフト(セキュリティソフト)の利用を挙げて いるところが多い。対策ソフトの多くは、最新の定義ファイル(パターンファイル)におい て、悪質なショートカットファイルや、そのファイルに実行されるウイルスに対応している という。

PC online http://pc.nikkeibp.co.jp/article/news/20100720/1026250/

今回の脆弱性を悪用した攻撃例

今回の脆弱性を悪用した攻撃例(英ソフォスのデモ動画から引用)。
USBメモリーの中身を 表示するだけで、ショートカットファイルがウイルスを実行す

マイクロソフトの情報 : http://www.microsoft.com/japan/technet/security/advisory/2286198.mspx