存在しない仮想通貨のウォレットを装うランサムウェア

2018年2月2日
脅威

2017年1月半ばから同年12月半ばにかけてBitcoinの価格は20倍以上に跳ね上がり、一時期は1コインあたり2万ドルに達しました。EthereumとMoneroは、そこまでの域には達しなかったものの、相対成長としてはBitcoin以上の目覚ましさを見せました。手っ取り早くもうけを出せると期待した人々が、この新たなゴールドラッシュに群がっています。

普通の人は、仮想通貨のマイニング(採掘)やオンライン取引所での仮想通貨購入を通じて、思いがけない利益を当て込みます。そんな人々の元へは、サイバー犯罪者があの手この手を繰り出して近づいてきます。先日の記事では、仮想通貨に入れ込む人々が陥りかねない罠についてご紹介しました。そして最近、存在しない仮想通貨のウォレットに見せかけたランサムウェアを使うという新たな手口が発見されました(英語記事)。

手口の詳細

本題へ入る前に、仮想通貨とはBitcoin、 Monero、Ethereumだけではないことを思い出していただきましょう。たとえばCoinmarketcapというWebサイトを見てみると、仮想通貨が約1,500種類ほどリストアップされています。仮想通貨関連のフォーラムでは、マイナーな変わったコインのどれが次に価値急騰するか、という話が飛び交っています。

詐欺師はこの状況に便乗し、「次に来るコインはSpriteCoinだ」と吹聴してSpriteCoinウォレットのダウンロードを仕向けます。しかし、「SpriteCoin」をGoogle検索してみれば分かるのですが、このコインの情報が見つかりません(現在なら、この記事で紹介するような話がヒットしますが)。しかし、仮想通貨に投資する人々の一部は、Google検索する暇も惜しかったようです。

SpriteCoinの偽ウォレット(実はマルウェア)は、すぐには正体を現しません。まずはパスワードの作成を求め、続いてブロックチェーンコンポーネントのダウンロードを開始します。初めて起動するとき、ネットワークと同期して仮想通貨のブロックチェーン全体をダウンロードするウォレットもあるため、まず怪しまれません。

さて、ブロックチェーンのダウンロード状況を示すプログレスバーは、実際にはコンピューター上にあるファイルが暗号化されていく様子を示しています。このマルウェア(MoneroPay、説明は英語)は、暗号化したファイルに「.encrypted」という拡張子を付けます。また、Windowsのシャドウコピーの削除を指示するコマンドを受け取ると、シャドウコピーを削除してファイルを復元できなくしてしまいます。さらに、FirefoxとChromeに保存されたログインIDとパスワードを犯罪者の元へ送信します。データは、身元を特定されないようにTorネットワークを通じてやりとりされます。

ファイルが暗号化されると、モニターには0.3 Monero(原稿執筆時点で約100ドル)を要求するメッセージが表示されます。MoneroはSpriteCoinと違って実在の仮想通貨で、高い匿名性を保つことができることから、犯罪者が好んで使う通貨の座をBitcoinから奪いつつあります。脅迫文は、身代金を払わなければファイルを開けないままになる、と述べています。実際にMoneroPayがシャドウコピー削除のコマンドを受信すれば、まさに脅迫どおりの事態となります。

要求に屈して身代金を払っても、トラブルは終わりません。復号鍵として届くのはまた別のマルウェアで、Webカメラを通じてのぞき見したり、デジタルセキュリティ証明書を盗んだりします。

SpriteCoinの被害に遭わないために

  1. ちょっと調べてみる。誰か知り合いがよこしたよさげな提案に乗る前に、まずはそれが何なのかくらいは調べましょう。行動の前に考えよ、です。うますぎる話は、たいてい自分ではなく相手にとっておいしい話です。
  2. 定期的にバックアップを取る。面倒だなと思うかもしれませんが、「バックアップさえあれば…」と後悔するより良いはずです。今はバックアップ手段もいろいろありますから、自分に合ったものも見つかることでしょう。
  3. 先んじて行動する。そもそもそういったマルウェアに感染しないように、性能の高いセキュリティ製品をインストールしておきましょう。しかし、仮想通貨市場を脅かすものから身を守る一番の策は、注意深くあること、これに尽きます。