世界中でWannaCryやPetyaなどのマルウェアによる被害が相次いだ中、日本では、「ONI(オニ)」と呼ばれるランサムウェア(身代金要求型マルウェア)の感染報告が幾つか寄せられたとして、注意が呼び掛けられています。感染経路などの詳しい状況は不明ながら、日本を標的にしている可能性があるようです。
このランサムウェアは、少なくとも6月から存在する「GlobeImposter」と呼ばれるランサムウェアの亜種とみられており、特徴として、暗号化したファイルの名前の拡張子に”.oni”が付与されることや、脅迫文にあたるHTMLファイルの内容が日本語翻訳された様な文章になっていることから、日本を標的としたランサムウェアであると考えられています。
また、感染経路としては現時点ではメールやウェブサイトを経由して感染マシンに送り込まれるなどの方法が考えられているものの、WannaCryのようなワームによる拡散機能は備えていないとのことです。さらに、「ビットコインなどの身代金を要求する内容が記載されていない」、「一般的なWebメールのアドレスを連絡先として指定している」などの理由からランサムウェアとしての実用性や影響力は小さいと考えられます。
しかしながら、元となる「GlobeImposter」自体は、WannaCryやEthernalRocksとして悪用され有名となった「Shadow Brokers」を名乗るサイバー犯罪グループが公開したエクスプロイトツールであり、高度なシステム侵入の一環で使用されたケースもあるため、そのようなAPT攻撃グループとの関連性も疑われているようです。
このため今回の「ONI」の様に、今後もランサムウェアの亜種の発見や被害が続く可能性があると共に、明に日本を標的とした動きが確認されたことは注意すべき点だと考えられます。
参考
【関連リンク】