日経NETWORK 2016年2月号からの転載です。記事は当時の状況を解説しています。
2015年12月上旬、「TeslaCrypt」というランサムウエア▼に関するSNS▼への投稿が、目立つようになりました▼。ランサムウエアとは、ユーザーのデータを人質にして金銭を要求するウイルスです。このとき見つかったTeslaCryptは、ユーザーのディスクにある一部のファイルを暗号化して、ファイル名の末尾に「.vvv」を加えるため、「vvvウイルス」と呼ばれています。TeslaCryptに感染したユーザーが、Twitterなどで感染した様子を報告したのです。
今回は、TeslaCryptの検体を入手できました▼。その動きを詳しく見てみましょう。
▼ランサムウエア ランサムウエアのランサム(ransom)とは、身代金の意味。
▼SNS Social Networking Serviceの略。
▼目立つようになりました 日本IBMの「Tokyo SOC Report」(https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/ransomware_20151208)でも指摘している。
▼入手できました 検体は国内で見つかったものと同じではないかもしれないが、同様の挙動をすると思われる。
TeslaCryptに感染してみる
まずは検体を使って、手元に用意したパソコンをTeslaCryptに感染させます。ユーザーは、メールに添付されたJavaScript▼やWordファイルを開いたり、改ざんされたWebサーバーにアクセスしたりして、攻撃者が用意したサーバーに誘導され、TeslaCryptに感染したようです▼(図1)。
▼JavaScript Webブラウザーの制御用に開発されたプログラミング言語。機能が拡大し、最近ではアプリケーション開発に用いられている。
▼感染したようです 一部報道では、Webサイトの広告を悪用して感染させる「マルバタイジング」が使われたとされていたが、実際のところマルバタイジングによる感染は確認されていない。
図1●ランサムウエア「TeslaCrypt」の感染に使われたとされる攻撃手法
攻撃者は、メールを送ったり、Webサーバーを改ざんしたりしてユーザーをランサムウエア「TeslaCrypt (通称vvvウイルス) 」に感染させる。ユーザーは感染するとパソコンのファイルを暗号化され、ファイルの復号と引き替えに金銭を要求される。
[画像のクリックで拡大表示]
