楽観消える、vvvウイルスは「とりわけ危険な存在」―セキュリティ大手が警告
今はスパムメールが主な感染経路という(出典:シマンテック)

PCに感染し、保存してある画像や文書を使えなくする「vvvウイルス」は、現在活動している脅威のなかでも「とりわけ危険な存在」だとするレポートを、大手セキュリティ企業のシマンテックが発表した。

vvvウイルスこと「TeslaCrypt」亜種は、感染するとPC上に保存してある画像や文書の名前に「.vvv」などの文字列を付け加えて暗号化し、もとに戻してほしければ身代金を支払えと要求する「ランサムウエア」だ。

TwitterなどでTeslaCryptが話題になり始めたころ、セキュリティ企業の分析はやや楽観的だった。カスペルスキーやトレンドマイクロといったセキュリティ企業は、用心をおこたらないように呼びかけつつ、英語圏が主な標的であり日本ではほかのウイルスに比べて感染が目だって多い訳ではないとしていた。

だがその後、国内でも流行のきざしがはっきりしてくると、各社は警戒心を強め、頻繁にレポートを公開するようになった。

シマンテックにいたっては最新のレポートで、TeslaCryptをとりわけ危険な存在と名指しした。理由は、サイバー犯罪者がこのランサムウエア自体も、拡散の手口も常に改良し続けているためだという。

TeslaCryptの検知数は急増している
TeslaCryptの検知数は急増している(出典:シマンテック)

TeslaCryptの感染は当初、Webサイトで悪質な広告を閲覧する、という経路が注目を集めていた。だがシマンテックはスパムメール経由の感染を重視している。これはトレンドマイクロの最新のレポートとも一致する。

サイバー犯罪者はスパムメールでさまざまな「ソーシャルエンジニアリング」の手口を使い、受信した人を巧みに誘導して添付ファイルを開封させようとするという。例は次の通りだ。

[ID:<ランダムな数字>]Would you be so kind as to tell me if the items listed in the invoice are correct?(お手数をおかけして恐縮ですが、請求書に記載の項目をご確認いただけますでしょうか)
[ID: <ランダムな数字>] Please accept our congratulations on a successful purchase and best wishes.(このたびは、ご購入おめでとうございます。お礼申し上げます)
[ID<ランダムな数字>] Would you be nice enough to provide us with a wire transfer confirmation.(お手数ですが、電信送金についてご確認ください)

添付ファイルの名前は無作為に並んだ文字に「invoice」「doc」「info」などの語が加わっているのが普通。最後に「.zip」とついている場合も、何も付いていない場合もある。正規の文書のように見せかけているが、実際はウイルス対策製品の監視をすり抜けるため高度に不明瞭化した仕掛けが潜んでいる。

万一添付ファイルを開くとTeslaCryptに感染する。ちなみにvvvウイルスというあだなから誤解しがちだが、「.vvv」という文字列つきで暗号化するとは限らない。過去には「.ccc」という文字列を付ける場合もあった。

さて、なぜTeslaCryptは猛威を振るっているのか。シマンテックによると、このランサムウエアは「商品」としてブラックマーケットで流通しているのだという。複数のサイバー犯罪者集団が、開発者に対価を支払っている。さらには感染を拡散する手段についても対価を支払って利用しているのだとか。

最近TeslaCryptが目立つのは、特定の集団の動きが活発化しているためで、この集団は主な拡散手段としてスパムメールを使うらしい。

シマンテックは企業も個人も十分な警戒が必要だとしている。といっても提案している自衛策はほかのセキュリティ企業と同じ。PCの状態を最新に保ち、差出人に見覚えのないメールは開かないようにし、細めにバックアップをとること、などだ。