2015年12月5日以降、ランサムウエアの一種である「CrypTesla」(別名:TeslaCrypt)による被害がネット上で話題になった。これを受けてセキュリティベンダー各社が関連する情報を公開し、基本的な対策をあらためて呼び掛けている。
感染するとPC内のデータをロックしたり、勝手に暗号化したりして、「元に戻してほしければ金銭を支払え」と要求するランサムウエアの被害がこの1〜2年急増している。
2015年12月5日以降、その一種である「CrypTesla」(別名:TeslaCrypt)による被害が日本のネット上で話題になった。これを受けてセキュリティベンダー各社が関連する情報を公開し、「脆弱(ぜいじゃく)性対策(=ソフトウエアのアップデート)を行う」「定期的にバックアップを行う」といった対策を取るよう推奨している。
今回話題になったランサムウエア、CrypTeslaの亜種は、ネット上では「vvvウイルス」と呼ばれている。感染するとPC内のファイルを暗号化し、ファイルの拡張子を「.vvv」に変更する。そしてファイルを元の状態に戻してほしければBitconで支払いを行うよう要求してくる。
トレンドマイクロによるとCrypTeslaの感染経路は、スパムメールと、脆弱性を攻撃するWebサイトの二パターンあるという。
特に12月2日以降、米国を中心にCrypTeslaを拡散させるスパムメールが拡散し、1万9000通以上が確認された。CrypTeslaをダウンロードさせるJavaScriptをZIP形式で圧縮し、メールに添付したもので、この添付ファイルを開いたと推測できる不正アクセスは全世界で6000件程度あったという。ただし、そのうち日本国内からのアクセスは約100件にとどまっており、トレンドマイクロは「日本への流入は限定的」としている。
もう一つのWebサイト経由の拡散について、カスペルスキーは「Adobe Flash Playerの脆弱性を悪用するAnglerエクスプロイトキットを通じて感染する」と解説している。Anglerエクスプロイットキットは、今回話題となったCrypTeslaだけでなく他のランサムウエア拡散にも用いられており、その手段としてAdobe Flash PlayerやJavaの脆弱性を悪用していた。従って感染を防ぐ対策としては、Adobe Flash Playerも含めソフトウエアを最新のものにアップデートし、脆弱性を修正することが挙げられるだろう。
カスペルスキーはブログの記事を通じて、他に「重要なファイルを定期的にバックアップする」「そのバックアップに問題がないかどうかも定期的に確認する」「信頼できる企業・組織や知り合いをかたって、悪意あるリンクが送られてくる可能性があることに留意する」「Windows上でファイルの拡張子が表示されるように設定する」「セキュリティ製品を利用する」といった対策も推奨している。
ランサムウエアによる被害は海外では数年前から、日本国内でもこの1年間で急増しており、今回の騒動もその流れを反映したものと言えるだろう。日本語で脅迫文を表示してくる「Crypt0L0cker」や、PCのローカルファイルだけでなくネットワークストレージや共有ドライブ上のファイルまで暗号化してしまう「CTBLocker」のように、より手の込んだ悪質なものが報告されている。また、前述のメールやWebサイトに加え、広告経由でランサムウエアに感染してしまうケースも報告されており、今後も同様の被害が生じる恐れは否定できない。
実際にランサムウエアの挙動を確かめてみたというソフトバンク・テクノロジーの辻伸弘氏は、自身のブログの中で、「不正広告や水飲み場攻撃のように、『怪しいサイトには近寄らない』だけでは防ぐことのできない攻撃もある以上、自身のシステムに内在する脆弱性を解消することを強く推奨する」「それでも、添付ファイルを実行してしまったり、未解消の脆弱性やゼロデイ脆弱性を突かれることもあるため、可能な限り短い間隔で自身のファイルのバックアップを取得しておく」(ただし、端末がアクセス可能な場所にバックアップを置いておけば同様に暗号化される恐れがあるため、物理的に別メディアに保存するといった手段が望ましい)ことを推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.