Microsoftは2016年10月19日(現地時間)、「Ransom:Win32/Locky」と呼ばれるランサムウェア(身代金要求型不正プログラム)の活動が鎮火しつつあることを公式ブログで明らかにした。Lockyが使用するツール「TrojanDownloader: JS/Nemucod」と連携し、PCに悪意のあるプログラムをダウンロードする仕組みのため、合わせて活動率が低下したとMicrosoftは分析している。

「Locky」の活動記録。直近では2016年10月から活動率が低下している(公式ブログより抜粋)

「Nemucod」の活動記録もLockyと連動している(公式ブログより抜粋)

だが、最近のLockyは既存のwsfファイル(Windowsスクリプトファイル)やjsファイル(JavaScriptファイル)、htaファイル(HTMLアプリケーションファイル)ではなく、lnkファイル(ショートカットファイル)をZIP圧縮したメール添付ファイルで送られてくる傾向があるという。ZIPファイルの中身はショートカットファイルながらも、パスは悪意のあるプログラムをダウンロードするPowerShellスクリプトであり、誤って実行するとPCが感染してしまう仕組みだ。

Lockyに感染したPCから送られてくる迷惑メール。件名はランダムな文字が用いられる(公式ブログより抜粋)

添付ファイルの内容。拡張子「.lnk」が示すとおりショートカットファイルである(公式ブログより抜粋)

リンク先としてpowershell.exeを指定し、その後にスクリプトが続く(公式ブログより抜粋)

具体的にはPowerShellスクリプトが実行されると、ボットネットなどからダウンロードしたファイルを一時フォルダーに保存し、そのまま実行する。下図に示した例では「BJYNZR.exe」を実行し、PCが感染すると自身を他のPCへ配信する感染の仕組みが構築されてしまう。MicrosoftはWindows Defenderなどマルウェア対策製品の使用や、Officeアプリケーションのマクロ機能無効化、不審なメールを開かないといった注意をうながしている。

PowerShellの実行内容。ウィンドウを隠した状態でファイルをダウンロードし、実行する(公式ブログより抜粋)

阿久津良和(Cactus)