日本国内で活発な活動を見せるランサムウェア「Locky」の動向について

  • 執筆者:セキュリティストラテジスト 寺下 健一
    初版:2016年3月24日

2016年2月の中頃から日本国内で活動が観測され始めて以来、現在に至るまでその活発な活動は衰えを見せず、既に今年のメジャーな脅威として台頭しています。世界中のFortiGateがFortiGuardへレポートしてくれる情報の中から、このLockyの国内における動向をレポートします。

概要

このランサムウェア自体の詳しい分析は、我々FortiGuardのResearcherが既に皆様へお届けしています。詳しくはこちらのブログをご参照ください。一般的なランサムウェアの振る舞いを始め、ドメイン生成アルゴリズム(DGA)、コマンド&コントロール、暗号化について技術的な視点でまとめられています。

LockyのBotnet、コマンド&コントロール通信

現在FortiGuardでは、日本国内におけるLocky関連のBotnet通信の検知数は十番目に多いものと見ております。これは、現在でも頻繁に存在が確認される、かの有名なZeusや、Cyber Threat Allianceでも詳しく調査・報告させていただいているCryptoWallに次ぐものです。

第十位と言っても無視できない大きな理由がもう一つあります。それは冒頭でご紹介した通り、このLockyは今年の2月から活動が確認され始めたとても新しいもので、それが既にZeusやCryptoWallと活動量については肩を並べているということです。


図1: 日本国内の2016年3月中のBotnet観測数Top10

Lockyが利用するダウンローダー

日本国内におけるアンチウィルスによる統計データから、現在どのようなマルウェアが流行を見せているのか見てみましょう。


図2: 日本国内の2016年1〜3月中のマルウェア検知数Top5

このグラフをご覧になってすぐおわかりになる通り、W97M/TrojanDownloader.34B7!trと名付けられた、Microsoft Wordマクロによってプログラムを不正にダウンロードし感染端末上で実行を試みるダウンローダーが8割以上を占めました。

実はこのマルウェア、Lockyの感染活動においてランサムウェアをダウンロードさせるために利用されている事が知られております。また、LockyのBotnet活動と同時にアンチウィルスによって検出が確認され始めましたことから、Botnetの観測数から見られなかった急激な感染活動の拡大が、このデータから判明しました。

メール添付で拡散するこのマルウェアの検知数は既に100万件を越えています。一方アメリカではこれまで検知数はわずか1万件余りに留まっており、特に日本をターゲットにして活動していることが非常に興味深いです。

なお、検知数第5番目のJS/Nemucod.GY!tr.dldrも、Lockyの活動で利用されるJavaScript型のダウンローダーです。

FortiGuardのアンチウィルスをご利用のお客様は、これらの脅威については自動で保護されており、ダウンローダー自体がその検知数の多くを占めることから、後に不正にダウンロードされるランサムウェア本体の侵入を水際で阻止していることがわかります。

ネットメディアでも毎週のようにランサムウェアに関する報告が散見されますが、思っていた以上の影響がすでに日本国内で発生していることが、このリサーチによって明らかになりました。

セキュリティ製品による保護対策はもちろんのこと、万が一ランサムウェアに感染されてしまって、あなたの(また、あなたが所属する組織の)データが人質となり身代金を要求されてしまった場合に備え、データの適切なバックアップは急務です。そしてそのバックアップデータはネットワークに接続せずに保管することが重要です。オンライン状態にあるバックアップデータはランサムウェアの手が届くところにある事と同義です。

Fortinetの対応

前述の通り、こちらのブログでFortinetの対応についてまとめられております。Fortinet製品を適切にお使いのお客様は、これらの脅威に対して自動的に保護されています。

関連記事

本記事の内容に関するお問い合わせ先

FortiGuard Labs in Japan
fortiguard_jp@fortinet.com