• セキュリティ情報
  • 2019.11.29

Windowsの更新プログラムを偽ったランサムウェア感染被害が発生

セキュリティサービス企業の Trustwave は米国日時の2019年11月19日、Windowsの更新プログラムを偽る添付ファイル付きメールが送信されていると発表しました。
該当メールに添付されている、拡張子が「.jpg」の添付ファイルを開くとランサムウェアに感染、ファイルが暗号化されるとともに$500のランサム(身代金)を要求されると警告しています。

攻撃手法

問題のメールは現状、「Install Latest Microsoft Windows Update now!」や「Critical Microsoft Windows Update!」という件名で送信されているようです。
メール本文は先頭2文字が大文字表記になっている1文のみが記述されており、ランダムなファイル名の「.jpg」拡張子のファイルが添付されているといった特徴を持っています。

添付されているjpgファイルは、悪意のあるソフトウェアをダウンロードする実行可能ファイルを偽装したもので、誤って開くと「bitcoingenerator.exe」というランサムウェアをダウンロードし、実行されてしまいます。

ランサムウェアに感染すると、ファイルが暗号化され「.777」という独自の拡張子が追加されます。
次に感染したマシンのデスクトップに「Cyborg_DECRYPT.txt」というテキストファイルが生成されます。このテキストファイルには$500をbitcoinのウォレットに送金するよう、身代金の要求が書かれています。
また、感染したマシンのドライブ直下に自身のコピーにあたる「bot.exe」を隠しファイルとして複製することが確認されています。

ランサムウェアの特徴

同社の調査によると、問題の実行ファイル「bitcoingenerator.exe」はjpgに偽装されたダウンローダーによって、GitHubで数日間だけアクティブだったアカウントのリポジトリからダウンロードされていたことが判明しています。
更に、「bitcoingenerator.exe」はすでに亜種が存在することも確認されており、暗号化ファイルに追加される拡張子が「.test」や「.Cyborg1」などに変更されているものが見つかっています。

上記亜種の存在や、その他同社の様々な調査から、「bitcoingenerator.exe」を誰でも作成できるようにするためのビルダーが存在することを特定しており、様々な亜種の出現や被害拡大の危険性を説明しています。

被害に遭わないために

正規の更新プログラムは標準機能の「Windows Update」で取得する形式となっているため、
Windows の更新プログラムがメール添付で送信されてくることはありません。
こうした情報を事前に知っておくことで、偽の通知を事前に警戒することができます。

このようなメールを受け取った場合、発信された情報が正規のものであるか冷静に判断しましょう。メールの内容に不安や危機感を覚えても不用意に閲覧せず、情報の発信者や内容をインターネットで検索することによって、判断するための情報を得ることができます。
また、万が一閲覧してしまったときの感染被害を抑えるため、OSの新しい更新プログラムを常に適用し、ウィルス対策ソフトウェアを導入するなど基本的な対策を実施しておきましょう。

ランサムウェアによってファイルが暗号化されてしまった場合、身代金を支払ったとしてもファイルが復元できるとはかぎりません。
攻撃の手口を知ることが未然に感染を防ぐことに繋がります。

まとめ

攻撃手法は典型的なウイルス添付メールですが、攻撃者は日々手口を変えて攻撃を試みます。
今回のケースはWindows7のサポートが2020年1月14日に終了するため、ユーザーの不安や危機感を煽る手段としてWindows更新プログラムが使用されたと推察されます。
実際にこのようなメールを受け取ると冷静さを欠いてしまいがちですが、落ち着いて対応しましょう。

尚、筆者も「口座が不正利用されている」といった偽のSMSを受け取った経験がありますが、発信元番号を検索することで即座に偽の通知だと判断できました。
日ごろから情報収集しておくことで、事前に流行りの攻撃手法を知ることができます。手口を知ることが予防にもつながりますので、情報収集を習慣化してみてはいかがでしょうか。

参考サイト:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/fake-windows-update-spam-leads-to-cyborg-ransomware-and-its-builder/

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。