-仮想体験デモ(3)-
更新日: 2017年10月10日
ランサムウェア (Ransomware) は、パソコンをロックしたり、パソコン内のファイルを人質にとったりする不正プログラムの総称です。 ただ、ランサムウェアという用語を知っていても、実際パソコン内でどのようなことが起きるのかあまり実感がわかない方も多いかと思います。 そこで、HIRT-PUB17004 では、2016年末に報告された日本語メールでのランサムウェア拡散事例について紹介したいと思います。
2016年末に報告された事例は、マルウェアに感染しているので、除去ツールをダウンロードし、マルウェアを除去するよう促すメールが流れたというものです。 メールに添付されていたファイルは、「マルウェア (VAWTRAK) 除去ツール .zip 」「 VIRUS REMOVAL TOOL.zip 」というような除去ツールを思わせる名称ですが、ファイルの実態は、パソコン内のファイルを人質にとったりする不正プログラムであるランサムウェアでした。
MISCHA は、2016年 5月に確認されたランサムウェアです。 2016年10月末に、「【重要】総務省共同プロジェクト インターネットバンキングに係るマルウェアへの感染者に対する注意喚起および除去ツールの配布について」というメール件名で配布されました。
STAMPADO は、2016年 7月に存在が確認されたランサムウェアです。 2016年11月上旬に、「【重要】総務省共同プロジェクト コンピューターウィルスの感染者に対する注意喚起および除去ツールの配布について」というメール件名で配布されました。
仮想体験デモは、Flash ファイルのムービーをアニメーション GIF ファイルに変換したものを提供しています。デモを開始することにより、実際のウイルス感染活動が発生するわけではありませんので、ランサムウェアの動きについて体験してみてください。
仮想体験デモは、メールで指示されていたサイトからダウンロードしたファイル「 Malware(VAWTRAK)Removal Tool.zip 」から除去ツールを取り出した後、実行してしまったというシナリオで構成しています。 今回仮想体験デモで実行した MISCHA は、途中でコンピュータへの変更の許可を求めるダイアログを表示します。 ここで、管理者のパスワードを入力して「変更を許可する」を選択してしまうと、ハードディスクを暗号化し始めます。その結果、OS が立ち上がらない状態となってしまいます。 また、「変更を許可しない」を選択した場合には、ファイルを暗号化し始めるというものでした。
仮想体験デモは、メールで指示されていたサイトからダウンロードしたファイル「 VIRUS REMOVAL TOOL.zip 」から除去ツールを取り出した後、実行してしまったというシナリオで構成しています。 今回仮想体験デモで実行した STAMPADO は、ファイルを暗号化した後、「期限が 4 日 (96 時間) で、6 時間毎に1ファイルを削除するという」警告ダイアログを表示します。 また、期限が過ぎると、警告ダイアログは消え、暗号化されたファイルの復元ができなくなるというものでした。
本仮想体験デモは、総務省実証事業「サイバー攻撃解析・防御モデル実践演習の実証実験の請負」の成果の一部です。
MISCHA
SHA256:1b5c6395c313ce4f5e0c204c97cb2b8e38549174f48fc456fe88300fcba76f12
MD5:deabf1507ac66ef7a5588cfe56248888
STAMPADO
SHA256:633f8ce9e635fcb82d1fdd9f225c832607d0b68fbdb5fc1bf3f11b05c7499be8
MD5:0cb4b46085e6ec2ef5194f99021d3af7
担当:寺田、大西
グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています
