vvvウイルスが話題となっている。vvvウイルスについては、
「何か危険なものが出まわっているらしい」、そんなイメージだけが先行していた。
だが、ようやくセキュリティベンダーからレポートが出てきた。

◎vvvウイルスの正体はランサムウェア「CrypTesla」
トレンドマイクロによると、vvvウイルスの正体はランサムウェア「CrypTesla」の新型亜種とみられるとのこと。

当初は、世界的にも特に大規模な拡散には至っていないし、特に日本を狙ったものでもないとされていた。
しかし翌日には、「12月9日時点においてこの手口に関連する不正URLのブロック数が国内で急増しており、日本にも相当数が流入していることが確認できた」として続報が出ている。

ランサムウェアとは、感染すると侵入したコンピュータ内のファイルを暗号化し、元に戻すことと引き換えに身代金を要求するというもの。

マルウェアスパム経由と脆弱性攻撃サイト経由の2とおりの感染ルートが確認されている。
マルウェアスパムには、添付されたJavaScriptファイル(ZIP圧縮されている)を実行することで不正サイトへのアクセスが行われ、感染するという。

感染したというユーザーがTwitterに投稿したことにより、こうした詳細がわからないまま「vvvウイルス」という言葉だけが一人歩きした(暗号化されたファイルの拡張子が「vvv」となることから「vvvウイルス」と呼ばれた)。
「vvvウイルス」という言葉が登場した直後は、確認しようにもセキュリティベンダーから何もコメントがないこともあり、本当なのかどうか怪しいという意見をいう人も出た。

実際、マルウェアスパムの件名が微妙に文字列や数字列を変化させたものになっていたり、添付ファイルのファイル名とハッシュ値を変化させたりするなど、セキュリティベンダーによる検出を逃れようという仕掛けがされていたそう。
また、JavaScriptファイル内に書かれたダウンロード元URL(不正サイト)は、JavaScriptファイルの実行によってアクセスした場合はファイルがダウンロードできるが、ブラウザなど手動でアクセスした場合はエラーとなるなど、動作を変える仕組みになっているという。

こうしたことで、実態を把握しにくかったことが、「vvvウイルス」という言葉が一人歩きした要因のひとつかも知れない。

◎巧妙になるマルウェアスパム
1つ言えるのは、最近は、一昔前のような、感染すると画像やファイルが漏洩するという類いのものではなく、金銭を騙し取るタイプのマルウェアが主流になりつつあるということ。
そして、マルウェアを含むスパムが、より巧妙になっているということ。
専門組織であるセキュリティベンダーでも、事実関係を確認するのに時間を要する事態になっている。

対策としては、もちろん不審な件名のメールを開かないことだが、今の世の中では感染を完全に防ぐことは難しい。
そう考えて、重要な書類はクラウドやリムーバブルメディアにこまめにバックアップを取るなど、たとえ感染したとしても被害を最低限におさえるようにしておくことだ。

また、情報には過敏になっておきたいが、詳細がわからない段階で情報にいたずらに惑わされないことも、心がけておきたい。

今回は、vvvウイルス登場騒ぎの直前に、不正広告によるランサムウェア感染が確認されたというニュースがあった。
このため、2つが安易に結び付けられ、広告バナーを見ただけでvvvウイルスに感染したという話に広まったという側面もあったようだ。

冷静に判断できるよう(あるいは、その時点で判断しないことも重要)、日頃からセキュリティのニュースに接して欲しい。

「vvvウイルス」の正体とは? ランサムウェア「CrypTesla」の流入は限定的
ランサムウェア「CrypTesla」を拡散させる一連のマルウェアスパム攻撃を詳細分析


大内孝子