新年にランサムウェアの「ばらまき攻撃」が「顔文字メール」で復活2019年01月18日 00時00分00秒

JR新宿駅1番線広告「ルミネ」と「シネマヤリ子」(2018年12月撮影):Ricoh GR、18.3mm(35mm版28mm相当)、F2.8開放、1/40秒、プログラムAE、ISO-AUTO(ISO 200)、AWB、画像設定:スタンダード

元旦から件名が顔文字で本文が英文で添付ファイルのあるウィルスメールがものすごい量で届いている。

うちに届くフィッシングメールにはいくつかのパターンがあるのだが、このウィルスメールはそれとは違う。ある特定のアドレスだけに届くのだ。メールアドレスの漏洩ルートが今までのとは違うのだろう。

さて、問題は、このウィルスメールが元旦から今日まで200通以上も届いているのに、ネット上にこの情報が少ないことだ。

いつもならすぐにツイートしている警視庁サイバーセキュリティ対策本部 (@MPD_cybersec) は、去年の12月27日のツイートが最後だし、その元情報だと思われるJC3(一般財団法人日本サイバー犯罪対策センター)犯罪被害につながるメールの注意喚起情報も去年の12月28日の情報が最新のままだ。いつまで正月休みなんだ?と思っていた。

Google検索してもあまり情報がないので、久しぶりにTwitterにログインして検索してみたら、元旦から同じようなウィルスメールが大量に着弾しているという人が複数いた。

それで、JC3に情報提供したのだが、なしのつぶて(だから最初の20通で情報提供はやめた)。

そうしたら、ウィルスバスターのトレンドマイクロ社が1月11日付けで情報を出していた。
新年にランサムウェアの「ばらまき攻撃」が「顔文字メール」で復活(トレンドマイクロセキュリティブログ 2019年1月11日)

添付ファイルを開くとランサムウェアとコインマイナーが侵入するらしい。届いたメールはとっとと削除しておこう。サーバーに残す設定にしているので、メールサーバーからも削除しておこう。うちは、メールサーバーとの間の通信を暗号化しているので、メールソフトに届いた時点ではウィルススキャンしていないのだ。メールソフトから添付ファイルを開いたり名前を付けて保存する段階で初めてウィルススキャンされる設定になっている。アンチウィルスソフトがこの添付ファイルをウィルスだと判定できなければアウトだ。

ただ、外国名の差出人で、件名も日本ではあまり使わない顔文字だし、本文も英文なので、ほとんどの人は開かずに捨てるだろう。

だからといって情報がほとんどないのはどうしたものか。この添付ファイルを開いてしまうと、PC上の大事なファイルが暗号化されて身代金を払わないと復号できないと脅されるのだ。一般財団法人日本サイバー犯罪対策センターや各種ネットメディアはちゃんと情報を公開しろよなぁ。

ということで、トレンドマイクロの上記情報はありがたい。

【関連追記】
ランサムウェア「GandCrab」対応復号ツール、100万ドル超の被害回避--Bitdefender報告(2018年11月01日)
現時点ではGandcrab v5.04やGandcrab v5.1の復号化ツールはなく、感染したら戻す手段はないそうだ。
【追記:2019年2月25日】Gandcrab v5.1までの復号ができるようになったようだ。ランサムウェア「GandCrab」の復号ツールが機能強化 - 最新版にも対応参照。ただし、Gandcrab v5.2が出回るようになったらしいのでいたちごっこである。【追記ここまで】
1/1-13の顔文字件名のスパムメールによるPhorpiex/GandCrabの調査まとめ(S-Owl 2019年1月14日)
ウイルス付き横書き顔文字メール(E Flat B倉庫 Blog 2019年1月5日)
ウイルス付き横書き顔文字メール(2)(E Flat B倉庫 Blog 2019年1月9日・16日)
【関連追記ここまで】

【さらに関連追記:2019年1月29日】
しばらく治まっていたランサムウェア(ウィルス)メールだが、再び大量に送られて来ている。
1/1-13の顔文字件名のスパムメールによるPhorpiex/GandCrabの調査まとめ(S-Owl 2019年1月14日)の記事に従って、ルータのパケットフィルタで92.63.197[.]48と92.63.197[.]60に対して両方向ともアクセスできないように設定した。これで万が一ファイルを実行して、アンチウィルスソフトが検知漏れをしても、ランサムウェアがPCにダウンロードされるのを防ぐことが可能になる。万全ではないが、もう一段防御したことになる。S-Owlさんの情報に感謝します。
【さらに関連追記】ここまで。

【さらにさらに追記:2019年2月4日】
ランサムウェア「Love you」、日本を標的とした大規模なキャンペーン (2019年2月1日マイナビニュース)
”ランサムウェア「Love you」”という呼び方は、昔あった”「I LOVE YOU」ウィルス”と紛らわしいなぁ。ここにきても、JC3(一般財団法人日本サイバー犯罪対策センター)や警視庁サイバーセキュリティー対策本部は、このランサムウェア攻撃を無視するのな。
【さらにさらに追記ここまで】


写真は記事とは関係ない。JR新宿駅1番線広告「ルミネ」と「シネマヤリ子」(2018年12月撮影):Ricoh GR、18.3mm(35mm版28mm相当)、F2.8開放、1/40秒、プログラムAE、ISO-AUTO(ISO 200)、AWB、画像設定:スタンダード

いつも楽しみにしているルミネの広告。ルミネというのはいまではJR東日本の子会社だが、元は国鉄が許された数少ない副業のひとつ。

JR新宿駅1番線広告「シネマヤリ子」部分拡大(2018年12月撮影):Ricoh GR、18.3mm(35mm版28mm相当)、F2.8開放、1/40秒、プログラムAE、ISO-AUTO(ISO 200)、AWB、画像設定:スタンダード

さて、問題はルミネの広告じゃなくてその後ろのビルの広告だ。私はずっと「シネマヤリ子」だとぼーっと読んでいた。今回写真を撮ろうとよーく見てみると、横文字で"CINEMA QUALITE"と書いてあるじゃないか。シネマヤリ子じゃなくてシネマカリテだったのかっ(笑)。

【関連追記】
蜷川実花×尾形真理子のルミネ新広告 モデルは八木莉可子、小説企画も(cinra.net 2018年2月1日)

コメント

_ みっち ― 2019年01月18日 12時58分23秒

ほーっ、もう新年1月も半ば過ぎましたなぁ。(驚)

>シネマヤリ子じゃなくてシネマカリテだったのかっ(笑)...

早めに(というか、かなり遅いが-笑)、気が付いて良かったです。「シネマヤ○○」なんて、まさかあちこちで大声で叫んだりしてなかったでしょうね。(汗)

その結果こうなっていたりして↓
『本日新宿の路上で淫らな言葉を口にした現行犯で、初老の男性が逮捕されました。本人は某Haniwaと名乗っており、これ以外にも「○コンはアオカン(?)を復活せよ」等意味不明のことを口走っているとのことで、警察では認知症の疑いも含め、引き続き捜査中...』(爆)

_ Haniwa ― 2019年01月18日 14時09分42秒

みっち様
いやー、口に出してなくてよかったです(汗
なんか、いかがわしいお店だと思っていたんですよ(笑)。
それで口に出して言ったことはなくて済みました。

なんか映画のコスプレしながらおねえさんが(以下妄想が際限なく続く…

新宿で妄想しながら意味不明のことを口走って身柄確保されそうですなぁ(違)。

_ (Ф∀Ф)怪しくない野良猫メール ― 2019年01月21日 21時51分45秒

>日本ではあまり使わない顔文字だし

:D  :-)  ;) はあんまり使わないなぁ、
バカボンのパパ
||:3ミ
位かな。

>シネマヤリ子

対抗してシネマハニ子を…、
野良猫とHaniwa氏の苦闘を上映すればごく一部の方に絶賛されますよ!、
さあ超音波兵器を撤去してカメラで動画撮影です!、
動画撮影を止めるな!。

_ Haniwa ― 2019年02月04日 10時23分13秒

(Ф∀Ф)怪しくない野良猫メール様
お返事が遅れてすみません。m(_ _)m

>対抗してシネマハニ子を…、
>野良猫とHaniwa氏の苦闘を上映すればごく一部の方に絶賛されますよ!、

そうですね、もう随分長く闘っていますからね。
超音波発生器も既に4台が故障しました。10年以上持っているものもありますが、5~6年で壊れた物もあります。屋外で風雨にさらして24時間稼働していますから仕方ないのかなぁ。

>さあ超音波兵器を撤去してカメラで動画撮影です!、
>動画撮影を止めるな!。

そ、そんなことをしたら、すぐに野良猫に糞をされて、「おぇー(AA略」と言いながら糞を処理する私の姿が映るだけです(泣)。

超音波発生器とチクチクのお蔭でまだ今年に入って糞尿被害無しです。
ハニワニワ戦線異状なし!

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※投稿には管理者が設定した質問に答える必要があります。

名前:
メールアドレス:
URL:
次の質問に答えてください:
私がよく言う「ニコンはレンズの○○環を無くすな」の○○とは?
aperture(stop)の日本語

コメント:

トラックバック

Google
WWW を検索 haniwa.asablo.jp を検索
asahi-net.or.jp/~sp5j-hys/ を検索
※ブラウザで「保護されていない接続」「安全ではありません」などの表示が出る場合はSSL対応のhttps://haniwa.asablo.jp/blog/の方にアクセスしてください。お気に入り・ブックマークもSSL対応の方に変更をお願いします。(2021/02/23)