師走も中旬を迎え冷え込みは厳しくなり…巷では風邪やインフルエンザ、ノロウイルスの感染も目立つようになってきました。
マスクや手洗い、うがいといった基本的なところからしっかり対策をしていきたいですね。
そんな中、健康と共に気を付けたいのがPCです。
- 「vvvウイルス」の正体とは? ランサムウェア「CrypTesla」の流入は限定的 | トレンドマイクロ セキュリティブログ
- ランサムウェア「CrypTesla」を拡散させる一連のマルウェアスパム攻撃を詳細分析 | トレンドマイクロ セキュリティブログ
- TeslaCryptランサムウェア被害 ファイル暗号化vvvウイルス 対策や感染経路は? – Let's Emu!
12月6日にTwitterで話題を掻っ攫ったCrypTesla(別名:TeslaCrypt)…通称「vvvウイルス(厳密にはウイルスではなく、マルウェアと呼ばれるものなのですがここでは割愛)」。
これは拡張子を“.vvv”に変えてしまうという分かりやすい特徴を持っています。
それ以外としては、動画ファイルや音声ファイル(mp3)はなぜか暗号化しないようです。が、逆にそれ以外…jpegのような画像ファイルや、Excel、Wordのファイルは暗号化されてしまい、もはや見たり読んだりすることはできません。
このvvvウイルスは話題を掻っ攫った数日後には「騒がれたほど流行はしておらず、騒ぎ過ぎた」という冷ややかな感心を持って終息に向かうかのように思われました。
しかし、その後も感染被害の報告が続き、やはり注意すべきだという認識に至っているように思えます。
騒ぎになった当初、vvvウイルスの正体はCryptWallの最新の亜種、CryptWall 4.0ではないかという噂もあったため、現在CryptWall 4.0について検索するとvvvウイルスとタイトルが付けられた記事がよくヒットします。
しかしながら、最終的には上記の通りCrypTeslaの亜種だったようです。
では、CryptWall 4.0はどうなったかというと…こちらもじわじわと感染拡大をしているようです。
- CryptoWallランサムウェアウイルス感染被害 ファイル暗号化HELP DECRYPT – Let's Emu!
- 被害額3億2500万ドル(約400億円)のCryptoWallランサムウェアの調査結果レポートを共同で発表 : マカフィー株式会社 公式ブログ
CryptWall 4.0はファイル名も拡張子も共に半角英数字のランダムな文字列に変えてしまうのが特徴のようです。
ExcelやWordのファイルは当然暗号化される上に、上記の通りファイル名も拡張子もランダムな文字列になってしまうため元のファイルが何だったかすら分からなくなってしまいます。
上述のCrypTeslaやCryptWallのように、“ファイルの中身を暗号化して読めない状態にして、「元に戻して欲しければ金をよこせ」と脅す”ような悪意のあるソフトウェアを「ランサムウェア(Ransomware)」といいます。
2015年6月に巷を騒がせた標的型攻撃の報道の頃から被害報告が増えた気がしますが…。
- 【セキュリティ ニュース】国内法人でランサムウェアの被害が深刻化 – 共有ファイルが人質に(1ページ目 / 全1ページ):Security NEXT
- コンピュータウイルス・不正アクセスの届出状況および相談状況[2015年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
気のせいではなく、データとしてもどうやら被害件数は増えているようです(2015年4月~6月に急増、とされています)。
それを受けて、今月に入っての亜種の散見。
…新たな流行の兆しにならないことを祈るばかりです。
流行させないためにも、対策はしっかりと講じたいですね。
まずは、
- Windows Update
- Adobe Flash Player
- Adobe Reader(Adobe Acrobat Reader DC)
- Javaランタイム
以上に挙げたようにOSやソフトのアップデートを行うこと。
このような「使っているソフトをなるべく最新版にする(=発見された脆弱性にパッチを当てる)」というのは、手洗いうがいのようにもはや対策として定番といわれるものですね。
この対策は、Webサイト上に出現する不正な広告や、Webサイト自体が改ざんされたページを開いた際に、これらのソフトの脆弱性を突いて不正にダウンロード・インストールしようとすることが多いといわれているためです。
(そのため、Webサイトを見ることに関係するソフトを中心としてセキュリティを固める。)
次によくいわれるのは、「不審なメールは開かない(特に添付ファイル、圧縮されたファイルは解凍しない。exeのような実行可能なファイルは実行しない)」ですかね。
特に冒頭で述べたvvvウイルスは「Invoice」や「Payment」といった請求書を装ったスパムメールから感染させる手口が用いられているため、この対策は今のところ有効なように見えます。
しかし、その件名や本文を微妙に変化させているため、「この文字列が含まれていたらスパム」という判定やセキュリティソフトの検出を逃れる工夫も見られるため、機械的な手法で完全に防ぐことは難しいようです。
さらにもっと巧妙な手口となれば文字列やプログラムによるパターン検出は更に困難を極めるという指摘もあります。特に6月に騒がれたような標的型攻撃は、手を変え品を変えて執拗に狙うため巧妙な手口を使います。
こうなると、「感染しないように水際で防ぐ」という従来の対策ではなく、もはや「感染することは避けられない。そこで、“感染しないように”ではなく、“感染しとしてもその被害をいかに最小限に食い止めるか”」という視点の対策が必要になる、ということがいわれています。
そんな状態ですので、差し当たってはOSやソフトのパッチやアップデートを適用しておくことが基本になるのかな、と思います。
このような次々と繰り出される新しい脅威にいかに対抗するか。ネットワークやセキュリティに携わる者は最新の動向をチェックし続けなければなりませんね…。
(といいつつ、ここに書いたことはとっくにあちこちで言われていることなので既に後れを取っている感満載なのですが…。)
標的型攻撃に関して、夏に株式会社ラック様から指南書が公開されていたということを知りました。
ありがたやー。