ランサムウエア『ONI』日本企業をターゲット…このメールじゃ引っかかる人も!?こんな対策も…

ランサムウエア『ONI』は、2016年12月あたりから始まったようですが、この4〜5カ月の間にだいぶ認識されてきたようです。

先日(2017年10月末)、米国のCybereason社のブログに、ランサムウェア『ONI』の詳しい調査結果が報告されているとニュースがあったので、ブログを確認しました。

『ONI』は日本語のビジネスメールを送ってくる

日本語の簡易的なビジネスメールですので、つい開いて何らかのファイルを、実行しまうのではないかと思われます。

過去ニュースで取り上げられたケースも、日本語で客を装っていたり、関連会社やセクションからのメールを装っていたりするので、安易に開いて、添付ファイルを実行等をしてしまったというものでした。

英語文のスパムやウイルスメールなどの場合は、普通の企業や一般の人からすれば、あきらかなインチキメールと思うことのほうが多いでしょう。

しかし日本語で、ある程度ビジネスライクな文章の場合、メールを開いて、そして添付ファイル等を実行したり、URLをクリックしたりするケースも多くなるでしょう。

『ONI』はこんなメールで送られてくる

米国のCybereason社のブログの画像より書き起こし

○○○

☓☓☓です。お世話になります。

領収書を添付いたします。

ご確認よろしくお願いします。

PW:▲▲▲▲

こんな感じのメールがきて、パスワード付きのZIPファイルが添付されています。

パスワードとZIPが一緒なら意味ないのですが・・・

そもそも、添付ファイルを解凍するためのパスワードが一緒なら、誰でも開けるわけですから、秘密の保持という観点から考えても、おかしいですよね。

さらに、領収書程度なら容量の問題はないのですから、容量を減らすための圧縮ということは、あまり考えられませんので、どちらにしてもおかしいわけです。

ただし、このあたりの理屈がわからなくて、圧縮してパスワードを一緒に送っている人がいるかもしれないので、そのあたりの問題も有ります。(普通の会社にはいないでしょうが…)

TVで取り上げた別マルウエア等の感染ケースは高度だった

手口を書き連ねるのは良くないので、さわりだけ…

ネットの販売店に対して、メールを送りつけて来たのですが、人間心理をついていたので、TVのインタビューで、「開かないわけには行かなかった」とコメントしていました。

このケースは、お客さん相手ですので、一般の事務的な作業ではなく、接客の一部です。

単なるウイルスやマルウエア、ランサムウエアの対応をしていても、済まないケースもあるでしょう。

そして、まずいと思った時にはもう遅いわけです。

対応策…業者に依頼しなくても可能!?

ネットでの販売の場合は、メールを相当使うことになりますから、リスクも多くなります。

前述のケースのように、知識がないとつい引っかかってしまいそうな場合もあるでしょう。

ですから、 感染してしまうことを前提にして、比較的簡単に、対処できる方法があります。

  1. 古いパソコンを用意して、メールやブラウズ専用パソコンにします。
  2. そのパソコンのHDDはフォーマットだけして、空にしておきましょう。
  3. そして、USBメモリにOSを入れて、ライブ起動させるようにします。(設定や変更等が保存ができるようにする

このUSBメモリやパソコン環境の作り方は以下の記事を参考にしてください。

パソコン、OS、データHDDなどを別々にセットしたパソコン環境をつくる。1.ノートパソコン 2.USBメモリOS 3.データ保存用外付けHDD 4.大型ディスプレイ 5.キーボード 6.マウス。これで、パソコン自体はこわれても、全く問題ありません。3番のデータ保存用外付けHDDだけ生きていれば、あとはすべて代替可能です。

ちなみにこの場合は、外付けHDDはつかわないようにしましょう。

まるっきり、記事の通りではありませんので、前述1.2.3のようにアレンジが必要です。

そして、このUSBメモリOSのクローンをつくっておけば、万一感染しても、リスクは最小限になります。

フォーマットしなおせば、安全ですから…

また、クローンを作るタイミングは運用方法によりますので、毎日がいいのか週一かと状況で決めればよいでしょう。

毎日であれば、前日までのデータとシステムは問題無いことになります。

その上、他への感染がなければ、すぐにそのパソコンも復旧できるかもしれません。

まとめ

先日、米国のCybereason社のブログに、ランサムウェア『ONI』の詳しい調査結果が報告されていました。

『ONI』は日本語の簡易的なビジネス文章のメールを送ってきます。

メール本文にパスワードとパスワード付きのZIPファイルが添付されています。

  • 秘密の保持という観点から考えてもおかしい。
  • 領収書程度なら容量の問題はないから、圧縮ということもおかしい。

ただし、このあたりの理屈がわからなくて、圧縮してパスワードを一緒に送っている人がいるかも…

感染してしまうことを前提にして、比較的簡単に、対処できる方法があります。
  • 古いパソコンを用意して、メールやブラウズ専用パソコンに
  • そのパソコンのHDDはフォーマットだけして、空にしておく
  • USBメモリにOSを入れてライブ起動させるようにする(設定や変更等が保存ができるようにする

このUSBメモリOSのクローンをつくっておけば、万一感染しても、リスクは最小限になります。

フォーマットしなおせば、安全ですから…

他への感染がなければ、すぐにそのパソコンも復旧できるかもしれません。