日経NETWORK 2016年2月号からの転載です。記事は当時の状況を解説しています。

 2015年12月上旬、「TeslaCrypt」というランサムウエアに関するSNSへの投稿が、目立つようになりました。ランサムウエアとは、ユーザーのデータを人質にして金銭を要求するウイルスです。このとき見つかったTeslaCryptは、ユーザーのディスクにある一部のファイルを暗号化して、ファイル名の末尾に「.vvv」を加えるため、「vvvウイルス」と呼ばれています。TeslaCryptに感染したユーザーが、Twitterなどで感染した様子を報告したのです。

 今回は、TeslaCryptの検体を入手できました。その動きを詳しく見てみましょう。

▼ランサムウエア ランサムウエアのランサム(ransom)とは、身代金の意味。
▼SNS Social Networking Serviceの略。
▼目立つようになりました 日本IBMの「Tokyo SOC Report」(https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/ransomware_20151208)でも指摘している。
▼入手できました 検体は国内で見つかったものと同じではないかもしれないが、同様の挙動をすると思われる。

TeslaCryptに感染してみる

 まずは検体を使って、手元に用意したパソコンをTeslaCryptに感染させます。ユーザーは、メールに添付されたJavaScriptやWordファイルを開いたり、改ざんされたWebサーバーにアクセスしたりして、攻撃者が用意したサーバーに誘導され、TeslaCryptに感染したようです図1)。

▼JavaScript Webブラウザーの制御用に開発されたプログラミング言語。機能が拡大し、最近ではアプリケーション開発に用いられている。
▼感染したようです 一部報道では、Webサイトの広告を悪用して感染させる「マルバタイジング」が使われたとされていたが、実際のところマルバタイジングによる感染は確認されていない。
図1●ランサムウエア「TeslaCrypt」の感染に使われたとされる攻撃手法
攻撃者は、メールを送ったり、Webサーバーを改ざんしたりしてユーザーをランサムウエア「TeslaCrypt (通称vvvウイルス) 」に感染させる。ユーザーは感染するとパソコンのファイルを暗号化され、ファイルの復号と引き替えに金銭を要求される。
[画像のクリックで拡大表示]

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら