最近の脅威

最近お客さんのトラブルで目立ったものをメモ。


1.日本郵便（または金融機関）を装ったウィルス付きのメールを開いてしまう
2.海外送金に絡む罠
3.ランサムウェア

最近、インターネット上での脅威が非常に増えていると感じています。
今年に入って上記の3種類のトラブルに立ち会ってきました。

1.の日本郵便を騙ったメールに今月の頭くらいに何件か立て続けに処理してきました。
症状はWord（またはそのコンポーネントを使った）ソフトウエアの不調、PCが起動しない等の症状です。
これは比較的簡単に対処可能でPCが立ち上がっていればTDSSKillerやカスペルスキー等で処理できました。
立ち上がらないやつでも別PCに感染してるPCからHDDを取り出し、接続し、ウィルスを駆除後、PCに戻し、OSのメディア等でMBRの修復を行いPCを起動させることが出来ました。

2.これはウィルスじゃなく、海外と取引をしてるお客さんのトラブル。
海外と取引してるお客さんで通常はメールで連絡しあっていました。
で、そのやり取りの中で、海外の相手から今まで使ってのと違うメールアドレスで
やり取りをやりたいとその取引相手の担当者からメールがやってきました。
それが悪夢の始まりでした。
メールアドレスは違えど、内容は今までやり取りの続きで、お客さんは不審に思わなかったそうです。で、その別アドレスのやり取りが続いた後、今度は取引口座を変えてほしいとメールがやってきました。まぁ相手がそう指示してるんだからそうなんだろうとお客さんは信じきっていました。
そして、その指定口座に振り込んでしまいました。
その指定した口座は取引先とは関係ない口座で、別のメールアドレスは調べたらフリーのメールアドレスで巧妙に発信者がわかりにくいようになっていました。
日本の警察に被害届をだしましたが海外が絡むため解決できるのは相当難しいです。
会社間の送金なので被害額は数百万になります。（もっと大きい金額の被害にあったお客さんもいます。）
後で考えてみると会社のアドレスが変わるというのは、特にドメインをとっている場合、変わるのはあまりありません。同様に取引口座を変えるというのもあまりありません。ただまったく無いとはいえないので、そのあたり普段とは違うような変化があった場合、相手先に、口頭やメール以外のやり取りで確認さえすれば防げたかもしれません。

3.これ、非常に怖い、大流行のウィルスです。
感染元は特定できていないのですが、多分、どこかのウィルスに感染しているWebページを見て感染したか、ウィルス付きのメールを開いてしまって感染したと思われます。
なにせ、このランサムウェアというのはたちが悪いです。極悪です。
自分が作った（絡んだ）データを全て（自分のPC上、ショートカット、ネットワークでつながったサーバーやNAS,ネットワーク共有してる他のPCも含む）を暗号化してアクセス不能にしてしまうものです。大流行しているだけに「ランサムウェア」でぐぐってみると大量にでてきます。
私のお客さんでも「.locky」、「.vvv」、他に感染したお客さんを確認しています。
 「.locky」
http://canon-its.jp/eset/malware_info/news/160218/
 「.vvv」
http://blog.trendmicro.co.jp/archives/12632

どのタイプも暗号化されたファイルを通常に戻すには身代金を払え！というものです。
その身代金にビットコインを使うのが多いです。
「.locky」のタイプはご丁寧に日本語で解説（脅迫）しています。
一度暗号化されたファイルは犯人以外解読できません。
 ＝身代金を支払うということになります。
「.locky」タイプは500ドル位を支払えというのです。
絶妙な金額である意味感心しています。高いけど、普通の人でも払えない金額でもない。
すごくいやらしいです。
アメリカではこれに感染して払ってしまう人も結構いるみたいです。
ただ、支払ったにも関わらず解読してもらえないという例もありますので
単に払い損になる可能性もあります。
ボリュームシャドウコピーや以前のバージョンの復元のデータも削除してしまうものあるので
感染してしまったらもうお手上げです。
ネット上で解読できたというのもまだありません。
どちらにしろ感染してしまっては遅いということで予防策が大切になります。
OSのアップデート、Adobe Flash、Adobe Reader（Acrobat）、Javaのアップデート
ウィルス対策ソフトをきちんと導入する。
それをやっておくのは基本中の基本になります。
また、定期的なバックアップを取り、物理的にネットワークから切り離した環境に置いておく。
ネットワーク上のデータも暗号化するものもありますのでできればバックアップした後は
そのバックアップデータを物理的にネットワークから切り離した場所に置いておくのが理想です。

自分の身を守るのは自分だけです。
そのためにも自分できることはやっておきたいです。