先週のサイバー事件簿 - 目的が分からない? PUBGランサムウェアが拡散中

6月11日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。通称「PUBG」と呼ばれるゲームのランサムウェアが確認されているが、身代金は要求されず、暗号化ファイルの解除コードも知らせてくるという、目的がいまいち分からない点に、かえって不気味さを感じる。

身代金を要求しないランサムウェア「PUBGランサムウェア」

6月12日の時点で、人気ゲーム「PlayerUnknown's Battlegrounds」(以下、PUBG)のプレイを要求するランサムウェア「MSIL/Filecoder.HD」が確認されている。ランサムウェアの多くは、感染するとデータを暗号化し、復旧のために身代金を要求するものがほとんど。だが「PUBGランサムウェア」は奇妙な要求をする。

「PUBGランサムウェア」は、実行されるとファイルとフォルダを暗号化して「.PUBG」という拡張子に変更。その後プログラムを起動すると、脅迫文が書かれた画面を表示するのだが、その内容はPUBGを1時間プレイしなければならないというもの。過去にも似た事例はあったが、その時はファイルを取り戻すためにゲームをプレイして「正気の沙汰でない」レベルのハイスコアが要求されていた。

「PUBGランサムウェア」の要求は、実際にはPUBGの起動ファイルを3秒間実行するだけでよい。脅迫文には「復旧コード」も記載されているなど、ゲームをしてもしなくてもユーザーをプレイできないようにする意図はなさそうではある。

単なるジョークソフトといえるかもしれないが、不正アクセスと不正改造をしていることに違いはない。不正改造できるということは、悪用も可能ということでもある。6月中旬の時点で、このランサムウェアがどのようにして拡散しているか明らかになっていない。

米政府、北朝鮮政府関与のトロイの木馬に注意喚起

6月15日の時点で、米国土安全保障省(DHS)と連邦捜査局(FBI)は、トロイの木馬「TYPEFRAME」の解析レポートを公表した。

「TYPEFRAME」は、トロイの木馬型マルウェア。レポートでは、Windows環境(32bit/64bit)で動作する実行ファイルとVBAマクロを含むWordのドキュメントなど、サンプル11件を分析している。このマルウェアにより、C&Cサーバと通信するリモートアクセスツール、ファイアウォールの変更による通信許可などが行われる可能性があるという。

米政府は以前にも、北朝鮮の「HIDDEN COBRA」というグループが関与したマルウェアの情報を公開しており、今回も関連性を示唆。情報公開を行うとともに注意を喚起している。

日本国内でも感染が広がりつつある「Mirai」に注意

警察庁は6月10日、IoTデバイスをボット化するマルウェア「Mirai」の感染が日本国内で広がりつつあることを受け、注意喚起を行った。TCP80番ポートに対するアクセスが急増しており、このTCPシーケンス番号が「Mirai」の特徴と一致していることから、「Mirai」の感染が疑われている。

アクセスの発信元を調べたところ、ネットワーク対応ビデオレコーダなどで採用されているWebサーバ「XiongMai uc-httpd」が稼働していた。このアクセスが6月10日より増加しており、11日から日本国内からのアクセスも急増していることから、国内で感染が広がっている可能性がある。

マイクロソフト、6月のセキュリティ更新プログラム

マイクロソフトは6月13日、6月のセキュリティ更新プログラムを公開した。対象のソフトウェアは以下の通りで、できるだけ早期にセキュリティ更新プログラムを適用するよう呼びかけている。

Internet Explorer
Microsoft Edge
Microsoft Windows
Microsoft Office、Microsoft Office Servers および Web Apps
ChakraCore
Adobe Flash Player

脆弱性についてのセキュリティ更新プログラムは、緊急9件、重要2件で、脆弱性の内容はリモートでコードが実行されるものと、特権の昇格が含まれる。なお、Adobe Flash Playerについては、6月7日に定例外で更新されている。

このほかにも、新規セキュリティアドバイザリ2件を公開、既存のセキュリティアドバイザリ2件を更新、既存の脆弱性情報3件の更新を行っている。今月の「悪意のあるソフトウェアの削除ツール」には、Win32/Plutruption!ARXep、Win32/Plutruption!ARXbxepに対する定義ファイルが新たに追加された。