トレンドマイクロは3月16日、日本語表示に対応したモバイル版ランサムウェアを初確認したと発表した。同社によると、3月10日前後からTwitterなどで、モバイル端末を狙ったランサムウェアと思われる被害を訴える書き込みが散見されていたという。
同社の調査の結果、この事象の原因として、Android版ランサムウェア「AndroidOS_Locker」の国内流入を確認。このランサムウェアは感染したAndroid端末で「MINISTRY OF JUSTICE」を詐称し、日本語の身代金要求メッセージを表示するという。Android 5以前の環境でのみ活動が確認されている。
PC版のランサムウェアでは、データを暗号化することで“人質”にする「暗号化型ランサムウェア」が主流となっているが、今回確認されたランサムウェアは端末操作を不可にすることで、端末自体を人質にする「端末ロック型ランサムウェア」の活動となっている。
このランサムウェアの拡散経路は、現在のところ断定できていないとしつつも、「System Update」を偽ってAndroid向け正規マーケットである「Google Play」以外で配布されているものと推定されている。インストール時には通常のアプリ同様、権限を要求するメッセージが表示される。
加えて、このランサムウェアは「セキュリティポリシーをアクティベートしますか?」というメッセージにより、「端末管理者」の設定の有効化を要求する。この表示に対して「有効にする」を選んでしまった場合、インストールされたランサムウェアにデバイス管理APIの権限が付与され、活動が開始する。これには、デバイス管理APIの権限を利用し、ランサムウェア自身のアンインストールを困難化する意図がある。
また、インストール後、時間をおいて「MINISTRY OF JUSTICE」を詐称し、“罰金”の支払いを要求する画面が日本語で表示される。「犯罪者情報」として感染した端末のキャリアやIPなどの情報を表示し、いかにも利用者の身元を特定したかと勘違いさせようとする工作もしているという。
このランサムウェアは、日本語表示の際には「MINISTRY OF JUSTICE」(=法務省)を名乗り、日本の国旗や警察などのマークを表示して、日本国内の法執行機関を思わせる表示をしているが、たとえば米国の場合は「CYBER POLICE」を名乗り、米国旗を表示するなど、国と言語で表示を変更している。
しかし、日本語表示の内容には、一見しただけでも、「残り時間は、罰金を支払います」などの不自然な表現が含まれており、「国土安全保障省」という日本にはない米国省庁の名前が表示されるなど、自動翻訳などを使った多言語対応の一環として日本語にも対応していることがうかがえる。
このランサムウェアでは、1万円の罰金の支払いをiTunesギフトカードによって行わせようとしており、これまで多くのランサムウェアが要求に使用していたビットコインによる支払いとは異なるため、モバイル環境に合わせて支払方法を変更したと考えられるという。
トレンドマイクロによると、日本のサイバー犯罪アンダーグラウンドでは、ギフトカードによる決済を好む傾向にあることをレポートしているが、その傾向が海外のアンダーグラウンドでも普及しつつあるのかもしれないと分析している。
同社では、現在不正アプリのほとんどは不審なサードパーティマーケットから配布されているとしており、正規のAndroid向けアプリマーケットであるGoogle Playや、信頼できるサードパーティマーケットからのみアプリをインストールするように警告している。
さらに、普段はAndroid OSのセキュリティ設定から「提供元不明のアプリのインストールを許可する」のチェックボックスを外し、信頼できるサードパーティマーケットからアプリをインストールする場合のみ、チェックしてインストールするように促している。また、Google Playからアプリを入手する際にも、アプリのデベロッパー、レビュー、インストール数などの項目をチェックすることで、不審点に気づくことができる場合があるという。
実際にランサムウェアに感染した場合は、Androidをセーフモードで起動することで、ランサムウェアの起動を抑止し、アンインストール可能になる場合があるとしている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」