ランサムウェア「CryptoLocker」、「ZBOT」を経て感染することで増す脅威（トレンドマイクロ）

トレンドマイクロは、最新版の「身代金要求型不正プログラム」とされる「CryptoLocker」についてブログで詳細情報を紹介している。

脆弱性と脅威脅威動向

2013.10.24 Thu 16:58

トレンドマイクロ株式会社は10月23日、最新版の「身代金要求型不正プログラム」とされる「CryptoLocker」についてブログで詳細情報を紹介している。「CryptoLocker」は、特定のファイルを暗号化し、その後 300米ドル（または 300ユーロ）の復号化ツールをユーザに示すことにより、代金の支払いを強いるランサムウェア。同社トレンドラボは今月、あるスパムメール活動の報告を受け、これが「CryptoLocker」の感染に関与していると断定した。

この大量に送信されたメッセージは、「TROJ_UPATRE」ファミリに属する不正なファイルが添付されており、同社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」からのフィードバックを用いて、ランサムウェア「CryptoLocker」と「TROJ_UPATRE」ファミリとを結び付ける情報を確認。そして「TROJ_UPATRE.VNA」として検出される不正なファイルが添付されたメールを確認した。

添付ファイルが実行されると、他のファイルをダウンロードし「cjkienn.exe」として保存する（「TSPY_ZBOT.VNA」として検出）。そして「TSPY_ZBOT.VNA」は、「TROJ_CRILOCK.NS」として検出される「CryptoLocker」をダウンロードする。この脅威によりサイバー犯罪者は、収集した情報を利用し銀行における不正取引を行うことが可能となる。また「CryptoLocker」が原因で、ユーザは個人のファイルや重要なファイルにアクセスすることができなくなる。同社ではこの脅威を「特段厄介である」としている。なお、暗号化にはAES暗号とRSA暗号を併せた方法を利用していることも判明した。

《吉澤亨史（ Kouji Yoshizawa ）》