請求書の偽装メールで「vvvランサム」が国内に拡散 - 複数ベンダーが検知

当初、国内への影響がそれほど大きくないと見られていた「vvvランサムウェア」だが、ここに来て複数のセキュリティベンダーが攻撃の増加を検知している。

問題のマルウェアは、ランサムウェア「TeslaCrypt」の亜種。ソーシャルメディアで被害が報告され、拡張子を「vvv」へ変更する特徴などから大きく注目を集めた。

一部被害が確認されているものの、これまで複数のセキュリティベンダーは、「国内ユーザーへの影響は限定的」との見方を示していたが、その後状況が刻々と変化している。国内での検知数が徐々に増加しており、注意が必要だ。

感染経路は、これまでにメールの添付ファイルを利用した攻撃を中心に「脆弱性攻撃サイト」「正規サイトの改ざん」が確認されている。今回国内で検知が確認されたのもメールを悪用した手口だ。

トレンドマイクロでは、「国内へ相当数が流入している」ことを確認。同社によると、検知のピークを迎えた12月9日には、感染サイトへ誘導されるケースを1日だけで500件以上にのぼった。

zip圧縮した「JavaScript」をメールを送り付ける攻撃で、問題のメールは、「Invoice」「Payment」など請求書を偽装。さらに問題の「JavaScript」は、検知を逃れるために難読化されており、メールの件名や添付ファイルのファイル名、ハッシュ値などを変化させていたという。

ただし、件名や本文が英語であり、同社は「国内を狙った攻撃ではない」との見方を示している。また「JavaScriptファイル」を実行した際に、ダウンロードされるファイルがランサムウェアである場合と、正規のセキュリティ対策ソフトである「Avira」の場合があったという。

同様の動きは、他ベンダーも確認している。日本IBMが、12月9日に国内のセキュリティオペレーションセンターで十数件のメールを受信したことを明らかにしている。また10日の記者説明会でカスペルスキーの研究者が同日朝より、攻撃メールの受信数が増加していることを示唆した。

さらにESETにおいても、12月7日から12月8日にかけて検知数が増加しているという。メールに添付された「JavaScript」は、イタリアなどでも検出が確認されているが、日本国内における検出数が突出していた。同製品を取り扱うキヤノンITソリューションズによれば、サポートへ寄せられる相談も増えているという。

（Security NEXT - 2015/12/11 ）ツイート

請求書の偽装メールで「vvvランサム」が国内に拡散 - 複数ベンダーが検知

関連リンク

PR

関連記事