写真提供:マイナビニュース

写真拡大

Microsoftは2016年10月19日(現地時間)、「Ransom:Win32/Locky」と呼ばれるランサムウェア(身代金要求型不正プログラム)の活動が鎮火しつつあることを公式ブログで明らかにした。Lockyが使用するツール「TrojanDownloader: JS/Nemucod」と連携し、PCに悪意のあるプログラムをダウンロードする仕組みのため、合わせて活動率が低下したとMicrosoftは分析している。

だが、最近のLockyは既存のwsfファイル(Windowsスクリプトファイル)やjsファイル(JavaScriptファイル)、htaファイル(HTMLアプリケーションファイル)ではなく、lnkファイル(ショートカットファイル)をZIP圧縮したメール添付ファイルで送られてくる傾向があるという。ZIPファイルの中身はショートカットファイルながらも、パスは悪意のあるプログラムをダウンロードするPowerShellスクリプトであり、誤って実行するとPCが感染してしまう仕組みだ。

具体的にはPowerShellスクリプトが実行されると、ボットネットなどからダウンロードしたファイルを一時フォルダーに保存し、そのまま実行する。下図に示した例では「BJYNZR.exe」を実行し、PCが感染すると自身を他のPCへ配信する感染の仕組みが構築されてしまう。MicrosoftはWindows Defenderなどマルウェア対策製品の使用や、Officeアプリケーションのマクロ機能無効化、不審なメールを開かないといった注意をうながしている。

阿久津良和(Cactus)

(阿久津良和)