「vvvランサムウェア」、感染経路は「スパム」と「脆弱性攻撃サイト」

SNSで被害が報告され、注目を集めた「vvvランサムウェア」に関して、トレンドマイクロは、調査結果をまとめた。おもな感染経路は「スパム」と「脆弱性攻撃サイト」だという。

同社は、他マルウェアに比べ、突出した拡散、被害は確認されておらず、国内における被害も限定的であるとの見方を12月7日に示したが、社会的に関心が高い話題であるとして調査を進めていた。

今回のランサムウェアについて、暗号化を行い、復号化を条件に金銭を要求する「TeslaCrypt」の亜種であり、「TROJ_CRYPTESLA」「RANSOME_CRYPTESLA」として対処したと説明。従来の見解同様、大規模感染などは確認されておらず、国内を狙った攻撃ではないとの見方を示している。

根拠としては、脅迫文が英語のみで、その他言語は「Google翻訳」を用いるよう誘導するにとどまっており、おもに英語圏を対象とした攻撃であると推測。

さらに今回の騒ぎでは、広告経由での感染といった憶測も流れるなど、感染経路に注目が集まったが、同社が確認した感染経路は、「スパムメール」および「脆弱性攻撃サイト」の2種類だった。

特に12月2日以降、米国を中心にzipで圧縮された「JavaScript」を添付したスパムメールが拡散。同社では、ワールドワイドで12月1日以降に1万9000通以上のメールを確認した。

添付ファイル内の「JavaScript」により、不正サイトへ誘導されたケースを全世界で6000件ほどを観測したが、日本国内から誘導されたケースは約100件だったという。

こうした状況も踏まえ、同社はあくまでも攻撃対象は海外であり、国内への攻撃は比較的限定的であることを強調した。

同社は、今回の被害が大きな話題となったことについて、被害がわかりやすい特徴から、インターネット上で大げさに話が伝わった事例と説明。とはいえ、ランサムウェアは引き続き流通している状況もあり、対策の重要性をあわせて訴えている。

同社は、効果的な対策として、ソーシャルエンジニアリングに騙されないように知見を持つことや、感染時の被害を最小限に抑えるため、重要なファイルについては、こまめにバックアップしておくことを挙げた。

（Security NEXT - 2015/12/08 ）ツイート