「偽Windows Update発動→アップデート失敗→偽公式サポートへ電話」のフルコンボで金銭を要求する巧妙な新型ランサムウェアに注意

Appleサポートを装って遠隔で画面を乗っ取る詐欺ページなど、有名企業の公式テクニカルサポートをかたる詐欺は増加傾向にあります。新たに発見されたのはPCの画面をロックして本物っぽいWindows Update画面を表示するというランサムウェアで、最終的にMicrosoftのテクニカルサポートをかたる電話番号にかけさせ、「アップデートに必要な料金」として金銭を支払わせる巧妙なやり口まで出現しています。

Tech Support Scammers Get Serious With Screen Lockers | Malwarebytes Labs
https://blog.malwarebytes.org/cybercrime/social-engineering-cybercrime/2016/05/tech-support-scammers-get-serious-with-screen-lockers/

新型ランサムウェアを発見したのはセキュリティ研究者の@TheWack0lianで、Windowsのプログラムに偽装した画面のスクリーンショットをサンプルとしてTwitterに掲載しました。この新型ランサムウェアに感染したPCを再起動すると、限りなく本物に近いWindows Updateの画面が表示され、アップデートが進んでいるように見せかけるとのこと。この時、本物のWindows Updateと同様にマウスやキーボード操作はロックされています。

本物であればデスクトップ画面に移行するわけですが、このランサムウェアは「OSのライセンス期限が切れているため、Windows Updateを完了できませんでした。正しいプロダクトキーを入力して継続してください」と要求する画面を表示します。正しいキーを入力しても、「プロダクトキーが正しくありません。電話サポートまでご連絡ください」と、あたかもキーが間違っているかのように偽の電話番号へ誘導します。Windows Updateの進行中の画面は、標準的なWindowsユーザーでもニセモノと気付くのは難しいほど精巧で、さらに電話番号はフリーダイアルであることから、警戒せずに電話してしまうという巧妙な作りになっています。

この件を報じたMalwarebytes Labsは、ニセのテクニカルサポートに電話してみたとのこと。ニセの「Microsoftのテクニカルスタッフ」は、それらしいやり取りの後に「Ctrl＋Shift＋T」を押すよう指示します。すると隠されたTeamViewerが起動し、詐欺師が遠隔操作まで行えるようになります。最終的にニセのスタッフは「画面のロック解除を行うには250ドル(約2万7000円)が必要」と持ちかけてくるため、Malwarebytes Labsはお金を支払うことなくここで通話を終了したとのこと。

なお、@TheWack0lianは「Ctrl＋Shift＋S」で画面ロックを解除できる隠しコマンド発見しており、金銭を支払わずにPCを復帰させることが可能。もし解除できない場合は、プロダクトコード欄に「h7c9-7c67-jb」「g6r-qrp6-h2」「yt-mq-6w」を入力しても、「正しいプロダクトコード」として認識されることがわかっています。今回のランサムウェアは英語仕様ですが、日本でも有名企業をかたるマルウェアやランサムウェアが登場する可能性は大いにあり得るので、「知っている企業だから大丈夫」と思わず、よく注意する必要があります。