2017-12-24 セキュリティニュースまとめ
私設 VPN サービスを提供していた中国人男性、5 年 6 ヶ月の実刑判決と 50 万元あまりの罰金刑に
- 元記事
- 元記事の一次ソース(中国語)
- 概要
- 中国では 2017 年 2 月 1 日までに各 ISP に対し顧客が VPN に接続することを禁じるように命じていた
- 中国では VPN の利用自体は禁じられていないが、事前に政府に届出を行わずに使用した場合違法となる
- 中国当局は 2017 年 1 月から 14 ヶ月間の計画ですべての無届私設 VPN をテイクダウンするキャンペーンを実施している
- Apple の中国版 App Store からは、2017 年 7 月にすべての VPN アプリが取り下げられた
GlobeImposter ランサムウェアの亜種によるマルスパムキャンペーンが展開される
概要
- 元記事
- 写真を 7zip で圧縮して添付したと見せかけるスパムメールが送信されている
- 7zip ファイルの中には難読化された .js ファイルが含まれており、これをダブルクリックすると GlobeImposter ランサムウェアがリモートサーバからダウンロードされ、実行される
- GlobeImposter が実行されると、システム上のファイルは ..doc という拡張子がつけられて暗号化される
- 暗号化処理が完了すると、暗号化された各ファイルと同じフォルダに、被害者への指示書となる HTML ファイル Read___ME.html が生成される
- hxxp://n224ezvhg4sgyamb[.]onion/sup.php onion サイトに記載されている連絡先メールアドレスは server5@mailfence[.]com
感染してしまったら
- 報告者サイトのコミュニティに相談を www.bleepingcomputer.com
自衛手段
- 普段からオフラインで定期的にバックアップしておくこと、復元テストも行うこと
- 知らない送信者からの添付ファイルは一切開かない
- 知っている送信者からの添付ファイルであっても、本当に本人が送信したものなのかを電話などメール以外の手段で送付を本人に確認してから開く
- ファイル拡張子は常に表示するように設定しておく
- 添付されているファイルの拡張子が .js, .vbs, .exe, .scr, .bat のいずれかである場合はどんな理由があっても開かない
- 既知のマルウェアかどうかを判定するため、送付されてきたファイルは VirusTotal などのサービスを利用してスキャンする*1
- Windows アップデートは出たらすぐ適用する
- 悪意のある検体に悪用されることが多い Adobe Acrobat Reader, Flash, Java などは、脆弱性対応パッチが出たらすぐに適用する*2
コメント
感染したマルウェアの種類がたまたまランサムウェアという名前で呼ばれているからといって被害がデータの暗号化ですむとは限りません。暗号化したファイルが攻撃者に渡り、その内容を元にさらに脅迫、情報漏えい、個人情報の悪用、詐称、他のサイトへの侵害時に自身のログイン情報が悪用されるなどの被害にあうことも予想して対応しなければなりません。クレジットカードや銀行・証券会社など金融関係のログイン情報が暗号化された情報に含まれている場合はただちに各金融機関に連絡をとっておきましょう。それ以外のWebサービスのログインも変更しておきましょう。この点でも、普段から二段階認証・二要素認証サービスを利用しておくと、窃取されたアカウントでのログインは防止できます。
*1:注: VirusTotal にアップロードされたファイルは有料サービスの契約者が取得・閲覧できてしまいます。ビジネス上正当なメールの可能性がある場合は情報漏えいになる可能性も考えられますからこうしたサービスには送付しないほうが良いでしょう。仮に着信時点で未知の脅威であったとしても、2-3 日も待てば通常デスクトップアンチウイルスソフトでも検出可能になるはずなので、開かずに保存して少し待ってから添付ファイルをローカルデスクトップでスキャンさせることを検討したほうがよいでしょう。一番良いのは、送信者に直接電話などで送付の有無を確認することでしょう
*2:ほとんどのサードパーティソフトウェアは Windows Update 同様更新を自動的に行うよう設定できます。特段の理由がないかぎり自動更新にしておきましょう