写真提供:マイナビニュース

写真拡大

シマンテックは12月16日、ランサムウェアの「TeslaCrypt」が作成者によって改良を続けられ、攻撃が活発化しているとセキュリティブログで明かした。

TeslaCryptは、マルウェアの強力な暗号化機能を使い、感染させたコンピュータ内のファイルを暗号化するランサムウェア。以前から確認されているランサムウェアであるが、作成者はマルウェアを日々改良し、新たな拡散の手法を実行しており、ランサムウェアの中でも危険な存在となっている。

シマンテックの観測によると、12月になってからTeslaCrypt攻撃が増加している。攻撃の手法は、マルウェアを仕込んだ大量のスパムメールを送り付け、受信者を巧みに誘導してメールを開封させようとする。スパムメールで使われている件名の例は以下の通り。

・[ID:<ランダムな数字>]Would you be so kind as to tell me if the items listed in the invoice are correct?(お手数をおかけして恐縮ですが、請求書に記載の項目をご確認いただけますでしょうか)
・[ID: <ランダムな数字>] Please accept our congratulations on a successful purchase and best wishes.(このたびは、ご購入おめでとうございます。お礼申し上げます)
・[ID<ランダムな数字>] Would you be nice enough to provide us with a wire transfer confirmation.(お手数ですが、電信送金についてご確認ください)

これらのスパムメールに共通する特徴は、添付されているファイルの拡張子が「.zip」となっているか、拡張子がない状態になっていること。添付ファイルは、正規の文書のように見せかけているが、実際はJavaScriptファイルであり、悪質なコードが含まれている。ユーザーが添付ファイルを開くと、自動的にTeslaCrypt がダウンロードされ、コンピュータにインストールされる。

TeslaCryptの最新バージョンは2.2で、ユーザーのファイルを暗号化して拡張子を追加する。拡張子はバージョンアップにより変更されており、バージョン2.1では「.CCC」であったが、2.2では「.VVV」となった。

TeslaCryptはファイルを暗号化すると同時に、プレーンテキストとHTMLファイルを作成する。どちらも身代金を払って暗号鍵を受け取る手順が書かれており、匿名のWebブラウザ Torをインストールし、TorのWebサイトにアクセスして詳細を確認するよう書かれている。

TeslaCrypt はマルウェアとして商品化されており、アンダーグラウンドのブラックマーケットで販売されている。

複数の攻撃グループは、TeslaCryptの作成者にプラットフォームの使用料を支払い、スパムボットネットや悪用ツールキットなどの利用料を支払っていることがおおよそわかっている。作成者は、TeslaCryptを購入しているグループに対し、購入したバージョンで重複しないID番号を割り振っている。

シマンテックは、最近のTeslaCrypt攻撃の増加は、ブラックマーケットで購入した特定のグループによるものだと見ている。このグループは、主な拡散方法としてスパムメールを利用している。

TeslaCrypt攻撃が活発化したことで、企業も警戒する必要がある。シマンテックはセキュリティ・ソフトウェアを定期的に更新し、差出人に見覚えのないメールは開かず、コンピュータに保存しているファイルはこまめにバックアップするといった対策を行うよう呼びかけている。