会社をクビに――ランサムウェア被害者の辛い実態
2015年05月19日 07時39分 更新
会社をクビに――ランサムウェア被害者の辛い実態
大切な書類や子どもの写真を人質に取られた被害者は、犯罪集団と接触し、窮状を訴えたり身代金を減額するよう懇願したりしていた。
[鈴木聖子,ITmedia]
ランサムウェアの一種(FireEyeより)
被害者のコンピューターやファイルを暗号化して人質に取り、被害者に身代金の支払いを迫る「ランサムウェア」。2015年に入って流通量が増大し、被害は世界各地に及んでいるという。被害者が窮状に陥ったり途方に暮れたりしている実態が、セキュリティ企業FireEyeの調査で浮かび上がった。
FireEyeの5月15日のブログでは、2015年2月に出現したランサムウェア「TeslaCrypt」(別名Alpha Crypt)の被害の実態について詳しく伝えている。TeslaCryptは被害者のファ
イルを暗号化して、「取り戻したければ0.5~2.5ビットコイン(約150~500ドル)、またはPayPalで1000ドルの身代金を払え」と要求する。
脅迫文の一例(同)
FireEyeの調査では、この脅しに屈して2015年2月~4月の間に163人が総額7万6522ドルを支払っていたことが分かった。同社はこの数字について、「他のサイバー犯罪集団が年間何百万ドルもの利益を上げていることや、CryptoLockerを操る集団が2013~2014年にかけて脅し取った推定300万ドルという金額に比べると取るに足らないものに思えるかもしれない。しかし、こうした小さな事例でさえ、ランサムウェアが利益を上げ、被害者に壊滅的な打撃を与え得ることを物語っている」と解説する。
TeslaCryptの感染が確認された被害者1231人のうち、263人はメッセージングシステムを使って犯罪集団と接触し、窮状を訴えたり身代金を減額するよう懇願したりしていたという。
被害は北米や南米、欧州、イランやモンゴルなど世界各地に広がっていて、ファイルを取り戻せなければ会社をクビになると訴える会社員や、子どもの写真を全て失って途方に暮れる父親も。慈善団体やスモールビジネスが被害に遭うこともあり、身代金を払えずにあきらめてしまった被害者も多かった。
2015年に入ってランサムウェアの流通量は増大し、種類も増えているという。2013年以降に確認されたものだけでも、最も多く出回っている「Cryptolocker」をはじめ、日本で出現した「TorLocker」など多岐にわたる。
感染する経路はさまざまだが、最近ではWebブラウザやJava、Flashといったプラグインの脆弱性を突いて、ユーザーが正規のWebサイトを見たり広告を表示させただけで感染するケースが多いという。
たとえ身代金を支払っても相手が約束を守るという保証はなく、暗号解除がうまくいかないトラブルも起きていることが分かった。
ランサムウェアは今後数年の間、各国で増え続けるとFireEyeは予想する。被害に遭ったファイルを復元するための暗号解除ツールはCiscoやFireEye、Fox-IT、Kasperskyなどの各社が提供しているが、犯罪集団側もイノベーションを続けるいたちごっこが続く。個人やスモールビジネスであっても、ソフトウェアとファームウェアを常に最新の状態に保つ、閲覧するWebサイトに注意する、スパムフィルタを使用する、定期的なバックアップを取る――といった基本的な対策を講じるよう同社は促している。
http://www.itmedia.co.jp/news/articles/1505/19/news047.html
2015年05月01日 07時30分 更新
ランサムウェアに感染させる新手のスパムメールが横行、米機関が注意喚起
米機関によれば「アカウントが一時的にロックされました」などのメールにだまされて添付ファイルを開くとランサムウェアに感染し、ファイルが暗号化されて身代金を要求される。
[鈴木聖子,ITmedia]
ユーザーのファイルを人質に取って脅迫する「ランサムウェア」を使った新手のスパムメールが米国などで出回っているとして、米セキュリティ機関のSANS Internet Storm Centerが4月30日のブログで注
意を呼び掛けた。ランサムウェアは日本でも感染が確認され、今後被害が広がる可能性も指摘されている。
SANSによると、新手のスパムメールは米国などで4月27頃から報告されるようになった。いずれも英語で、件名には「アカウントが一時的にロックされました」「あなたのアカウントが禁止されました」などと記載され、本文では「他のIPアドレスからあなたのIDへ不正にログインしようとする動きを検出しました。IDを再確認してください。詳しい情報は添付ファイルの参照を」といった文言で、添付ファイルを開かせようとする。
攻撃の流れ(SANSより)
ユーザーがだまされて添付のZIPファイルを解凍すると、まずダウンローダー型マルウェアの「Dalexis」に感染し、Dalexisがランサムウェアの「CTB-Locker」を呼び込んで感染させる。
CTB-Lockerに感染すると、英語で「あなたのファイルはCTB-Lockerによって暗号化された」という内容の警告メッセージが表示され、「96時間以内に送金がなければ、ファイルはすべて永久に暗号化されたまま復元できない」と脅迫する。
スパムメールの件名はそれぞれ多少の違いがあり、添付ファイルのハッシュ値も異なっているという。
ランサムウェアを巡っては、日本でも「Cryptolocker」などの感染が確認されるようになったとして、Symantecなどが注意を呼び掛けていた。
Symantecの4月23日のブログでは、「東アジアの国々を標的とするランサムウェアの出現は、こうした国々に存在する巨大な可能性と、この地域が豊かになってきていることに攻撃者が気付き始めたことを示す。かつては言語が侵入に対する障壁となっていたが、もはやそうではなくなっている」と指摘。いずれ日本などの東アジア諸国を狙った攻撃が増大することは避けられないと予想する。
対策としては、コンピュータ上のファイルは定期的なバックアップを取るよう心掛け、もし感染したとしても身代金を払ってはいけないとSymantecは強調。身代金を払ったとしてもファイルが復元される保証はないと指摘している。
http://www.itmedia.co.jp/enterprise/articles/1505/01/news051.html
015年04月24日 17時06分 更新
脅迫するランサムウェア、日本や韓国への攻撃を本格始動
欧米で猛威をふるった「TorrentLocker」の感染が日本や韓国でも目立ってきた。感染PCのIPアドレスに応じた言葉で脅迫文を表示する。
[ITmedia]
印刷/PDF
通知
事例掲載70社以上!ストレージ導入ビフォー&アフター
広島 札幌 仙台開催:@IT・IIJ共催セキュリティイベント
PCなどのデータを勝手に暗号化して金銭を要求するランサムウェア「TorrentLocker」や「Cryptolocker」の亜種が日本や韓国のユーザーを本格的に狙い始めたようだ。シマンテックやキヤノンITソリューションズが4月24日、相次いで注意を呼び掛けた。
rmsmw01.jpg
「Trojan.Cryptolocker.F」の感染状況(シマンテックより)
これらのランサムウェアは2014年に欧米地域で感染を広げており、年末には日本語で脅迫文を表示するタイプも出現していた。セキュリティ企業ESETの国内代理店のキヤノンITソリューションズによると、4月中旬からランサムウェアに感染したユーザーの相談が増加している。シマンテックによれば、Cryptolocker亜種の「Trojan.Cryptolocker.F」に感染したユーザーの7割が韓国を占めており、日本のユーザーも14%を占めている。
TorrentLockerなどの亜種は、感染端末のIPアドレスの位置情報に応じて日本語や韓国語、英語で脅迫メッセージを表示。Q&Aのようなコンテンツを見せつつ、1.8ビットコイン(約4万8000円)を支払えばファイルを復元するとうたっている。
rmsmw02.jpg
英語と日本語の脅迫メッセージ(キヤノンITソリューションズより)
rmsmw03.jpg
韓国語の脅迫メッセージ(シマンテックより)
ランサムウェアは、メールなどに添付されたWordファイルのマクロのスクリプトをユーザーに実行させる手法などで感染する。感染時にメールクライアントのアドレス帳データを盗むタイプも存在するという。
シマンテックやキヤノンITソリューションズではセキュリティソフトでこれらのランサムウェアや亜種を検知できるようにした。
http://www.itmedia.co.jp/enterprise/articles/1504/24/news135.html
会社をクビに――ランサムウェア被害者の辛い実態
大切な書類や子どもの写真を人質に取られた被害者は、犯罪集団と接触し、窮状を訴えたり身代金を減額するよう懇願したりしていた。
[鈴木聖子,ITmedia]
ランサムウェアの一種(FireEyeより)
被害者のコンピューターやファイルを暗号化して人質に取り、被害者に身代金の支払いを迫る「ランサムウェア」。2015年に入って流通量が増大し、被害は世界各地に及んでいるという。被害者が窮状に陥ったり途方に暮れたりしている実態が、セキュリティ企業FireEyeの調査で浮かび上がった。
FireEyeの5月15日のブログでは、2015年2月に出現したランサムウェア「TeslaCrypt」(別名Alpha Crypt)の被害の実態について詳しく伝えている。TeslaCryptは被害者のファ
イルを暗号化して、「取り戻したければ0.5~2.5ビットコイン(約150~500ドル)、またはPayPalで1000ドルの身代金を払え」と要求する。
脅迫文の一例(同)
FireEyeの調査では、この脅しに屈して2015年2月~4月の間に163人が総額7万6522ドルを支払っていたことが分かった。同社はこの数字について、「他のサイバー犯罪集団が年間何百万ドルもの利益を上げていることや、CryptoLockerを操る集団が2013~2014年にかけて脅し取った推定300万ドルという金額に比べると取るに足らないものに思えるかもしれない。しかし、こうした小さな事例でさえ、ランサムウェアが利益を上げ、被害者に壊滅的な打撃を与え得ることを物語っている」と解説する。
TeslaCryptの感染が確認された被害者1231人のうち、263人はメッセージングシステムを使って犯罪集団と接触し、窮状を訴えたり身代金を減額するよう懇願したりしていたという。
被害は北米や南米、欧州、イランやモンゴルなど世界各地に広がっていて、ファイルを取り戻せなければ会社をクビになると訴える会社員や、子どもの写真を全て失って途方に暮れる父親も。慈善団体やスモールビジネスが被害に遭うこともあり、身代金を払えずにあきらめてしまった被害者も多かった。
2015年に入ってランサムウェアの流通量は増大し、種類も増えているという。2013年以降に確認されたものだけでも、最も多く出回っている「Cryptolocker」をはじめ、日本で出現した「TorLocker」など多岐にわたる。
感染する経路はさまざまだが、最近ではWebブラウザやJava、Flashといったプラグインの脆弱性を突いて、ユーザーが正規のWebサイトを見たり広告を表示させただけで感染するケースが多いという。
たとえ身代金を支払っても相手が約束を守るという保証はなく、暗号解除がうまくいかないトラブルも起きていることが分かった。
ランサムウェアは今後数年の間、各国で増え続けるとFireEyeは予想する。被害に遭ったファイルを復元するための暗号解除ツールはCiscoやFireEye、Fox-IT、Kasperskyなどの各社が提供しているが、犯罪集団側もイノベーションを続けるいたちごっこが続く。個人やスモールビジネスであっても、ソフトウェアとファームウェアを常に最新の状態に保つ、閲覧するWebサイトに注意する、スパムフィルタを使用する、定期的なバックアップを取る――といった基本的な対策を講じるよう同社は促している。
http://www.itmedia.co.jp/news/articles/1505/19/news047.html
2015年05月01日 07時30分 更新
ランサムウェアに感染させる新手のスパムメールが横行、米機関が注意喚起
米機関によれば「アカウントが一時的にロックされました」などのメールにだまされて添付ファイルを開くとランサムウェアに感染し、ファイルが暗号化されて身代金を要求される。
[鈴木聖子,ITmedia]
ユーザーのファイルを人質に取って脅迫する「ランサムウェア」を使った新手のスパムメールが米国などで出回っているとして、米セキュリティ機関のSANS Internet Storm Centerが4月30日のブログで注
意を呼び掛けた。ランサムウェアは日本でも感染が確認され、今後被害が広がる可能性も指摘されている。
SANSによると、新手のスパムメールは米国などで4月27頃から報告されるようになった。いずれも英語で、件名には「アカウントが一時的にロックされました」「あなたのアカウントが禁止されました」などと記載され、本文では「他のIPアドレスからあなたのIDへ不正にログインしようとする動きを検出しました。IDを再確認してください。詳しい情報は添付ファイルの参照を」といった文言で、添付ファイルを開かせようとする。
攻撃の流れ(SANSより)
ユーザーがだまされて添付のZIPファイルを解凍すると、まずダウンローダー型マルウェアの「Dalexis」に感染し、Dalexisがランサムウェアの「CTB-Locker」を呼び込んで感染させる。
CTB-Lockerに感染すると、英語で「あなたのファイルはCTB-Lockerによって暗号化された」という内容の警告メッセージが表示され、「96時間以内に送金がなければ、ファイルはすべて永久に暗号化されたまま復元できない」と脅迫する。
スパムメールの件名はそれぞれ多少の違いがあり、添付ファイルのハッシュ値も異なっているという。
ランサムウェアを巡っては、日本でも「Cryptolocker」などの感染が確認されるようになったとして、Symantecなどが注意を呼び掛けていた。
Symantecの4月23日のブログでは、「東アジアの国々を標的とするランサムウェアの出現は、こうした国々に存在する巨大な可能性と、この地域が豊かになってきていることに攻撃者が気付き始めたことを示す。かつては言語が侵入に対する障壁となっていたが、もはやそうではなくなっている」と指摘。いずれ日本などの東アジア諸国を狙った攻撃が増大することは避けられないと予想する。
対策としては、コンピュータ上のファイルは定期的なバックアップを取るよう心掛け、もし感染したとしても身代金を払ってはいけないとSymantecは強調。身代金を払ったとしてもファイルが復元される保証はないと指摘している。
http://www.itmedia.co.jp/enterprise/articles/1505/01/news051.html
015年04月24日 17時06分 更新
脅迫するランサムウェア、日本や韓国への攻撃を本格始動
欧米で猛威をふるった「TorrentLocker」の感染が日本や韓国でも目立ってきた。感染PCのIPアドレスに応じた言葉で脅迫文を表示する。
[ITmedia]
印刷/PDF
通知
事例掲載70社以上!ストレージ導入ビフォー&アフター
広島 札幌 仙台開催:@IT・IIJ共催セキュリティイベント
PCなどのデータを勝手に暗号化して金銭を要求するランサムウェア「TorrentLocker」や「Cryptolocker」の亜種が日本や韓国のユーザーを本格的に狙い始めたようだ。シマンテックやキヤノンITソリューションズが4月24日、相次いで注意を呼び掛けた。
rmsmw01.jpg
「Trojan.Cryptolocker.F」の感染状況(シマンテックより)
これらのランサムウェアは2014年に欧米地域で感染を広げており、年末には日本語で脅迫文を表示するタイプも出現していた。セキュリティ企業ESETの国内代理店のキヤノンITソリューションズによると、4月中旬からランサムウェアに感染したユーザーの相談が増加している。シマンテックによれば、Cryptolocker亜種の「Trojan.Cryptolocker.F」に感染したユーザーの7割が韓国を占めており、日本のユーザーも14%を占めている。
TorrentLockerなどの亜種は、感染端末のIPアドレスの位置情報に応じて日本語や韓国語、英語で脅迫メッセージを表示。Q&Aのようなコンテンツを見せつつ、1.8ビットコイン(約4万8000円)を支払えばファイルを復元するとうたっている。
rmsmw02.jpg
英語と日本語の脅迫メッセージ(キヤノンITソリューションズより)
rmsmw03.jpg
韓国語の脅迫メッセージ(シマンテックより)
ランサムウェアは、メールなどに添付されたWordファイルのマクロのスクリプトをユーザーに実行させる手法などで感染する。感染時にメールクライアントのアドレス帳データを盗むタイプも存在するという。
シマンテックやキヤノンITソリューションズではセキュリティソフトでこれらのランサムウェアや亜種を検知できるようにした。
http://www.itmedia.co.jp/enterprise/articles/1504/24/news135.html