トレンドマイクロは12月8日、国内のネット上で突如話題となった「vvvウイルス」の解説を行った。
これによると、Twitter上で話題のピークとなった6日12時には「vvvウイルス」に関するツイートが1時間で5000件以上に達したという。この「ウイルス」の存在について同社が確認したところ、暗号化型ランサムウェア「CrypTesla(別名:TeslaCrypt)」ファミリーの新しい亜種である可能性が高いものとわかった。
ただし、このランサムウェアを拡散する攻撃は必ずしも特に日本を狙ったものではなく、世界的にも「特に大規模な拡散には至っていない」とのこと。
しかし、このケースに関わらず、各種ランサムウェアによる被害は国内で拡大しているため注意は怠らないようにと警告している。
|
「CrypTesla」により暗号化された画像ファイルの例。拡張子が「.vvv」となっている |
「CrypTesla」は他の暗号化型ランサムウェア同様に侵入したコンピュータ内のファイルを暗号化。元に戻すことと引き換えに身代金を要求する。暗号化する際にファイルの拡張子を「.vvv」に変える特徴から、今回「vvvウイルス」という呼称が広まったものと思われる。
今回は日本にも流入が確認されたが、現在のところ「CrypTesla」を利用するサイバー犯罪者自体は主に英語圏のインターネット利用者を攻撃対象としている。多言語に対応したランサムウェアが増える中で「CrypTesla」の表示する脅迫文は英語のみであり、英語がわからない被害者の場合にはGoogle翻訳を使うよう勧める文言が脅迫文の冒頭に書かれている。
|
「CrypTesla」の脅迫文。冒頭に英語がわからない場合はグーグル翻訳を使用せよ、という趣旨の文とグーグル翻訳へのリンクがある |
トレンドマイクロでは、「CrypTesla」の感染経路として、「マルウェアスパム経由」と「脆弱性攻撃サイト経由」の2種の攻撃の存在を確認している。特に、12月2日以降に、米国を中心にZIP圧縮したJavaScriptを添付したマルウェアスパムによって「CrypTesla」を拡散させる攻撃を確認している。なお、一部報道では「アドネットワーク広告などによる感染」が指摘されていたが、トレンドマイクロはこの件について触れていない。
また、同社のクラウド型セキュリティ技術基盤の統計によれば、「CrypTesla」拡散のマルウェアスパムは12月1日以降、全世界で1万9000通以上が確認されている。受信者がこれらのマルウェアスパム内の添付ファイルを開いたと推測できる不正サイトへのアクセスも、全世界で6000件近くが確認されており、相当数の受信者がマルウェアスパムからの被害を受けているものと推測される。ただし、そのうち日本国内からのアクセスはおよそ 100件にとどまっており、日本への流入は限定的であるものと言える。
|
「CrypTesla」のマルウェアスパム内の添付ファイルを開いた際にアクセスされる不正サイトのアクセスブロック数推移 |
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
