CryptXXXの身代金請求画面
CryptXXXの身代金請求画面(出典:トレンドマイクロ)

2015年後半には日本でも多くのPCを利用困難な状態にし、恐怖を与えた「vvvウイルス」こと「TeslaCrypt」。それを作ってばらまいたサイバー犯罪者は「改心」し、被害を回復する手段を公開した。だが問題は終わっていない。模倣犯が台頭している。

TeslaCryptは、感染したPCにある写真や文書などを勝手に暗号化して使えなくし、もとに戻して欲しければ身代金を払え、と要求するランサムウエア。一時期、暗号化する際に「.vvv」という文字列を追加したため、日本では「vvvウイルス」という俗称もついた。

この5月中旬、どういう訳かTeslaCryptは活動を停止し、生みの親であるサイバー犯罪者は、スロバキアのセキュリティ企業ESETを通じ、暗号化を解除するために必要な「マスターキー」を無料公開した。犯罪者が「改心」した珍しい美談として、注目の的になった。

だがそれで、めでたしめでたし、という訳にはいかない。TeslaCryptのこれまでの暴れ方をよい手本として学んだ別のランサムウエアが、新たな頭痛の種となりそうだ。

日本発のセキュリティ企業であるトレンドマイクロは、「CryptXXX」に注目している。このランサムウエアは、TeslaCryptが活動を停止したあと、新たな亜種が登場したが、そのやり口はTesraCryptをよく模倣しているという。

例えば感染の経路は、改竄(かいざん)したWebサイトと不正広告で、さらにPCのさまざまな脆弱性(ぜいじゃくせい)を攻撃するサイバー犯罪者御用達のキット「Angler EK」を使うところもTeslaCryptと同じ。

CryptXXXの感染経路
CryptXXXの感染経路(出典:トレンドマイクロ)

独自の機能としては、写真や文書を暗号化するだけでなくデスクトップ画面を開けないようロックまでし、身代金を払う以外の行動をとれなくする。

今後多くのサイバー犯罪者がCryptXXXに群がって利用していくだろうと、トレンドマイクロは予想している。TeslaCryptがそうだったように機能の更新を重ねてゆき、適切な対策をしていない人の脅威になっていく可能性がある。

当面の対策はほかのランサムウエアと同じ。あらかじめウイルス対策製品を導入し、PCを最新の状態に保ち、各種アプリケーションなども含め更新を定期的に適用すること。また「3-2-1ルール」に従ってバックアップを取ることも重要だという。次の通りだ。

・3つ以上のコピーを保存
・2つの異なる種類の機器に保存(例:ハードディスク装置とUSBメモリー)
・そのうちの1つは他の2つと異なる場所に保存(例:家庭とオフィス)