10月1日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

Windowsアップデートでユーザーファイルが削除されてしまう問題

米マイクロソフトは、10月2日(現地時間)に提供を開始した「Windows 10 October 2018 Update」のアップデートを行うと、ユーザーのファイルが削除されてしまう不具合があることを明らかにした。削除されるのは、ユーザーフォルダ内の「ミュージック」や「ビデオ」などのライブラリフォルダ。

特定の条件のもとでアップデートすると、これらのファイルが削除される。削除されたファイルは、ユーザーが個人的にバックアップを取っていない限り復旧は困難だという。

アップデートの提供は一時的に停止中だが、10月11日の時点では、問題を修正したバージョンの提供がWindows Insiderプログラム向けに再開されている。

■関連記事
・「Windows 10 October 2018 Update」配信開始、アップデート方法は?
・Windows 10 October 2018 Update - ファイル消失を受け配信停止中
・Windows 10 データ消失問題、MSが調査結果を公表、更新版がプレビューに

ボットネット拡散機能を備えたランサムウェア「Viro」

トレンドマイクロのセキュリティブログによると、2018年9月ごろ、ボットネットで拡散するランサムウェア「Viro」が確認された。Viroが最初に見つかったのは2018年9月17日で、PCにダウンロードされると暗号化を実行。暗号化が完了すると、PCを人質として身代金要求画面と身代金要求文書を表示する。さらにボットネットの一部して、感染PCの「Outlook」の連絡先一覧に対してスパムメールを送信して拡散する機能も備える。

なお、Viroはファイルを暗号化するために、C&Cサーバーとの通信を確立する必要があるのが、2018年9月21日の時点でC&Cサーバーは停止中。とりあえず脅威は収まっているが、またいつ再開されるかは分からないので警戒しておくに越したことはない。

悪質詐欺メールの大量送信に注意

同じくトレンドマイクロのセキュリティブログによると、9月中旬ごろから、悪質な詐欺メールが確認されている。メールの件名は、「緊急対応!」、「AVアラート」、「あなたの心の安らぎの問題。」、「すぐにお読みください!」、「セキュリティ警告」、「読んだ後に電子メールを削除!」など。この詐欺メールは、いまだに送信が止まっていないので注意することだ。

これらの詐欺メールでは、「アダルトサイトへアクセスしたときに録画をした」などと記載し、拡散すると脅して金銭を要求してくる。詐欺メールは9月中に7回ほど大量送信され、9月30日までに約3万通のメールが拡散したと考えられている。

また、送信元メールアドレスを受信者のメールアドレスで偽装し、アカウントをハッキングした、などの内容でユーザーの不安を煽ってくる。要求額は550ドルから700ドル相当のビットコイン。中にはメールの本文内にメールアカウントのパスワードが記載されていた事例もあり、このことから少なからず騙されてしまう人もいたようだ。現に、日本円で250万円相当のビットコインの入金が確認されているという。

PCに潜むクリプトジャッキングに注意

シマンテックの公式ブログによると、2017年以降から攻撃が顕著なクリプトジャッキングが、今なお猛威を振るっている。クリプトジャッキングとは、仮想通貨のマイニングを他人のデバイスで実行する攻撃。仮想通貨の流行にともない、この手法での攻撃が活発化している。

クリプトジャッキングは2017年の第4四半期ごろから急増しており、ビットコインなどの高騰を受け攻撃者がマイニングに目をつけたと思われる。サイバー犯罪者にとっては参入障壁が低く、被害者に気づかれずに犯行を続けられることも魅力だったのだろう。

最も多くマイニングされている仮想通貨は「Monero」。ビットコインに関しては特別なデバイスが必要になることから、マイニングは一般的ではないようだ。クリプトジャッキングの活動がピークに達したのは2017年12月ごろ。2018年に入って減少してはいるものの、収まってはいない。

クリプトジャッキングされると、PCの速度低下、バッテリの過熱、消費電力の向上などが起こる。まったくデバイスが使えなくなるわけではないので、ユーザーが気づきにくいというのも問題だ。対策としては、PCの異常動作を検知できるセキュリティツールなどを導入するのが手っ取り早く確実な方法だろう。

セガ、PSO2公式サイトを模倣した偽サイトに注意喚起

10月2日の時点で、セガのオンラインゲーム「PHANTASY STAR ONLINE2(以下、PSO2)」の公式サイトを模倣したフィッシングサイトが確認されている。この偽サイトにアクセスすると、ウイルスなどに感染する可能性があることから、セガは注意喚起を行っている。

偽サイトでは、URLの一部に無関係な文字列が含まれている。以下はその一例で、●の部分は公式サイトでは文字列などが含まれていない。

  • http://www.ps●●●.com/
  • http://ps●●●.com/
  • http://pso2.jp.●●●●.●●●/
  • http://https.cha.isao.net.●●●●.●●●/

偽サイト内では、ID、パスワード、ワンタイムパスワードのトークンのシリアル番号、秘密の質問と回答、クレジットカード番号などは決して入力しないこと。公式サイトをよく利用する人は、URLを確認して本物か偽物かを判断してから情報を入力することだ。

不正DNSへと誘導する「GhostDNS」が増加傾向

10月3日の時点で、ルータのDNS情報を書き換え不正サイトへ誘導する「GhostDNS」が増加傾向にある。Qihoo 360によると、70種類以上のルータが書き換えの対象とされ、10万件以上の被害があったという。9月20日ごろから増加の兆候が見られ、被害の9割近くはブラジルで発生していることから、メインターゲットはブラジルであると見られている。

攻撃手法は、脆弱性が解消されていないルータを探し、DNSを変更する「DNSChanger」で設定を改ざん。フィッシングサイトへ誘導するためDNSを仕込む。改ざんされたDNSには、情報を窃取するためのフィッシングサイトや管理サイトが用意されていたという。

最新の攻撃手法というわけではないが、アップデートを行っていないルータには効果的な攻撃なのも確か。被害に遭う前に、ルータのファームはつねに最新の状態にしておくこと。