暗号通貨による収益をおとりにして実行ファイルをインストールさせる、新たな手口を使ったランサムウェアが発見された。暗号化されたファイルを取り戻す手段としてMoneroによる支払いが要求されるという。
この手口は、掲示板に掲載された「必ず利益が得られる」新たな暗号通貨とされる「SpriteCoin」の宣伝から始まる。しかしこの話はまったくの偽りで、この詐欺に引っかかった被害者のシステムは、ランサムウェアに感染してしまう。
Fortinetの研究者によって発見されたSpriteCoinは、掲示板での宣伝で被害者をだます手法を取っており、攻撃を成功させるには、ある程度のソーシャルエンジニアリングを必要とする。多くのランサムウェアはフィッシングメールを通じて広がるが、このランサムウェアはSpriteCoinを収めた暗号通貨ウォレットとして配布されている。
ユーザーが.exeファイルを実行すると、ウォレットのパスワードを入力するよう求められ、その後、画面にはブロックチェーンのデータをダウンロード中だと表示される。しかし実際には、この間にファイルの暗号化が行われる。暗号化されたファイルの名前には、後ろに「.encrypted」という文字列が追加される。
またこのランサムウェアは、その過程で「Chrome」と「Firefox」に保存されているユーザーの認証情報を読み取り、リモートのウェブサイトに送信する。送られたユーザーのパスワードは、攻撃者の手に渡っている可能性が高い。
処理が終了すると、被害者に対して0.3 Moneroを要求する脅迫メッセージが表示される(Moneroは比較的新しい暗号通貨の一種で、本記事執筆時点では、0.3 Moneroは100ドル前後に相当する)。脅迫メッセージには、Moneroについての説明や、購入方法、支払い方法に関する情報へのリンクが含まれている。
最近では数百ドルから数千ドルの身代金を要求される場合もあることを考えれば、今回の金額はほかのランサムウェアに比べると小さい。これはSpriteCoinが、新たなランサムウェア拡散メカニズムのテストだからかもしれない。
Fortinet FortiGuard Labsのシニアセキュリティ研究者Tony Giandomenico氏は、米ZDNetの取材に対して、「今回の事例では、目的は金銭だけではないように見える。その目的は金銭の額ではなく、新たな拡散メカニズムのテストや概念実証で、どれだけの人間がこの手口にだまされるかを調べることである可能性があるとわれわれは推測している」と述べている。
SpriteCoinの作者は、被害者に対して、身代金を支払えば必ずファイルは取り戻せると保証している。しかし実際には、その可能性は低い。復号化の鍵を入手するために身代金を支払うと、被害者はウェブカメラを有効にしたりする機能を持つ、別のマルウェアに感染させられてしまう恐れがあるという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス