ニュース
「vvvウイルス」こと「CrypTesla」の日本への流入は限定的、トレンドマイクロが公式見解、引き続きセキュリティ対策の実施を
(2015/12/8 20:33)
トレンドマイクロ株式会社は8日、Twitterなどで被害情報が拡散されているランサムウェア「vvvウイルス」の見解について、同社公式ブログで公開した。同社によると、vvvウイルスは日本をターゲットにしたものではなく、日本への流入も限定的だとしている。
vvvウイルスは、暗号化型ランサムウェア「CrypTesla(クリプトテスラ)」(別名:TeslaCrypt)ファミリーの亜種の可能性が高く、ほかの暗号化型ランサムウェアと同様、侵入したPC内のファイルを暗号化し、復号化と引き換えに身代金を要求する。この際、暗号化されたファイルを「.vvv」に変える特徴からvvvウイルスと呼ばれるようになった。
CrypTeslaの感染ルートについては、マルウェアを添付したスパムメール、改ざんされたウェブサイト、不正広告の3つが考えられるが、トレンドマイクロによると、不正広告経由の感染は結局のところ確認されていない。そのため、国内への感染経路は、スパムメールか改ざんされたウェブサイトの可能性が高い。
CrypTeslaを拡散するマルウェアスパムは12月2日以降、米国を中心に全世界で拡散されており、これまでに1万9000通以上を確認している。Zip形式の添付ファイル(中身はCrypTeslaをダウンロードするJavaScript)を開いたと推測されるアクセスも、全世界で6000件近く確認されているが、日本からのアクセスは100件程度にとどまっており、日本への流入は限定的だとしている。
改ざんされたウェブサイトを経由する場合は、そのウェブサイトに仕組まれたスクリプトから、脆弱性を攻撃するウェブサイトに誘導する。今回、CrypTeslaを送り込むために仕掛けられた攻撃サイトには、エクスプロイトキットが組み込まれていたという。エクスプロイトキットは、ブラウザーやFlash、Javaなど、攻撃サイトにアクセスしたPCにインストールされているさまざまなソフトの脆弱性を検出し、その脆弱性を利用してCrypTeslaを送り込む。
不正広告でも同様の手法で、脆弱性を攻撃するサイトに誘導するが、OSやブラウザー、Flash、Javaなどの最新の脆弱性修正パッチを適用しておけば、この手の攻撃は防ぐことができる。なお、ソフトの最新パッチで脆弱性が解消されていない状態で、脆弱性を攻撃する場合(ゼロデイ攻撃と呼ぶ)もあるが、トレンドマイクロによると、現時点ではゼロデイ攻撃は確認されていないという。
また、ランサムウェアのなかには、多言語対応するものや、日本をターゲットに日本語で脅迫するものも確認されているが、今回のCrypTeslaの場合、脅迫文は英語であり、英語がわからない被害者にはGoogle翻訳を使うよう勧める文言が脅迫文に掲載されるなど、英語圏のインターネット利用者を攻撃対象にしている可能性が高いという。こうした背景から、CrypTeslaを拡散する攻撃は、必ずしも日本を狙ったものではなく、感染規模からしても、世界的に特に大規模な拡散には至っていないと結論付けている。
トレンドマイクロでは、vvvウイルスについて「わかりやすい特徴を持つ脅威ほど、実際の影響に関わらずネット上で大げさに伝わってしまうことを示したもの」としつつ、ランサムウェアによる国内ユーザーへの攻撃が継続して発生していることは事実であり、脆弱性解消などの不正プログラム対策の徹底と、正しい脅威拡散の情報から、電子メール受信者を騙す手口や、攻撃者の手口に乗らないような知見を持つことが必要だとしている。
また、ランサムウェアでは、身代金を支払うことで犯罪者に資金を提供することにつながるほか、身代金を支払ってもファイルが復号化されない可能性もある。万が一、ランサムウェアに感染してしまった場合の対策として、PCから隔離できる環境でのファイルのバックアップも重要である。
【追記 2015/12/12 15:50】
トレンドマイクロは11日、このマルウェアスパムについて、日本にも相当数が流入していることが12月9日時点で確認されたと発表した。スロバキアのセキュリティベンダーESETも、マルウェアスパムの増加を報告している。また、日本の警視庁でも注意を呼び掛けている。
詳細は、12月11日付記事『「vvvウイルス」ばらまき型メールが12月8日以降増加、警視庁も「添付ファイル開かないで」と注意呼び掛け』を参照。