大切なデータを暗号化してしまう悪質な『vvvウイルス(仮)』についての情報をメモ

2015年12月6日に入ってTwitterのトレンドワードやYahooの急上昇ワードに急浮上してきた『vvvウイルス(仮)』が深刻な問題だと感じたので、うちのブログでも記事として取り上げておきたいと思います。

※2015/12/14：最終更新

vvvウイルス(仮)はPCのファイルを狙ったマルウェアの中でも特に悪質で狡猾な振る舞いをする「ランサムウェア」です。
→ ランサムウェア - Wikipedia
尚、ランサムウェア「CryptoWall」から派生したのが「TeslaCrypt」で、その「TeslaCrypt」の最新版が今回のvvvウイルス(仮)の事となります。
(※vvvウイルスは世間でつけられた通称で、TeslaCryptと呼ぶのが世界的ですが、今後、同じ挙動を示す亜種・最新版を含めて、このまま通称はvvvウイルスで定着するかもしれません。)

一般的なランサムウェアの主な挙動としては以下。

• ファイルを消さず、ファイルを書き換える。(暗号化する)
• 復旧(復号化)の条件としてお金(身代金)を要求してくる。

日本人が「ランサムウェア」と聞いてもピンときませんが、英語で書くと「Ransomware」となり、「Ransom」＝「身代金」の意味があるので英語圏だとウイルスと呼ぶより意図が伝わりやすい様です。

今回のvvvウイルス(仮)の挙動は以下。

• ファイルを消さず、ファイルを書き換える。(暗号化する)
• ファイル名の最後に拡張子「.vvv」を付ける。
• 書き換える範囲は、OSで認識されるHDD/SSDドライブ、外付けドライブ(LAN経由含む)まで。
• 復元ポイントは丁寧に削除されるのでシステムを巻き戻す事は出来ない。
• 復旧(復号化)の条件としてお金(身代金)を要求してくる。

ファイルは暗号化されているので拡張子「.vvv」を削除しても中身は見れなくなります。
現状だと暗号の符号化は絶望的なので、潔くファイルを諦めるか、どうなるか分かりませんが身代金を払ってみるしか無い状況です。(※身代金を払っても復旧して貰える保証はありません)
(暗号化されてしまったファイルは、いつか量子コンピュータなどによる解読の可能性にかけて保管しておくと良いかもしれません。)

身代金の話に関連しますが、Twitter上で一時出回っていた「FBI曰く「身代金払ったほうが早い」」の情報元と思われる記事は以下です。
→ 払うべきか払わざるべきか：ランサムウェア被害者のジレンマ | Kaspersky Daily - カスペルスキー公式ブログ (※2015/11/09)

新型のランサムウェアについて詳しくは以下のカスペルスキー公式の記事などを参照して下さい。
→ 危険度を増したランサムウェア「TeslaCrypt 2.0」 | Kaspersky Daily - カスペルスキー公式ブログ　 (※2015/7/21付)



・注目されたキッカケ
vvvウイルス(仮)が急に注目されるキッカケとなったTwitterのツイートとまとめは以下。
→ 広告を見ただけで感染する？新種のランサムウェアの被害が甚大すぎる - Togetterまとめ

笑えない状況ですが詳細にレポートされていて、とても参考になりました。
この方は様々なファイルの他、思い出の写真が犠牲になってしまったそうです・・・

犯人からの要求が書かれた自動生成ファイルは以下との事。

こんなファイルが自動的に追加されとる 典型的なウイルスやんけ pic.twitter.com/vjNBSPtZsZ

— 柑橘.vvv (@kankitsu0) 2015, 12月 5

文章にある通り『RSA-2048』による難攻不落な暗号化を盾として脅迫しています。
しかも、英語WikipediaにあるRSA暗号記事へのURLを載せて、RSA-2048を知らない人に絶望感を与えるという丁寧ぶりです。
→ RSA暗号 - Wikipedia  ※こちらは日本語

そして、「What do I do?」の下にファイルを復旧させる方法の選択とURLが掲載されており、そこでビットコインなどの足が付きにくい仮想通貨にて身代金を払わせるという手筈となっていました。
(※情報だとビットコインという話ですが、実際の支払い方は未確認 → 感染した人の動画にて確認しました。)

500USD(USドル)分、つまりは約6万円分のBTC(Bitcoin)を支払う表示です。
尚、この金額は制限時間が過ぎると2倍になります。

この手のランサムウェアには日本語・韓国語など多言語翻訳された要求ファイルが生成されるものもあるとの事なので、今回のvvvウイルス(仮)は、日本で本格的に活動しようとして撒かれたものでは無く、英語圏で出回っていたものが何らかの形で日本に入ってきたという事を示しているものだと考えられます。
→ 日本語で脅迫するランサムウェアを初めて確認 | トレンドマイクロ セキュリティブログ  (2014/03/27付)

今回の日本のパニックは既に海外にも届いているので、これで何処かの国の別なターゲットが日本を狙ってくる可能性が高まってしまったとも言えるのかもしれません。

・他の感染者と対処例
他に確実に感染したと見られるのは以下の方

CryptoWall亜種に、テキストファイル殺されたっぽい

— Furia (@flammpfeil) 2015, 12月 4

ランサムウェアの駆除、復旧めどーい プロセス殺したし、影響範囲も特定したし、レジストリも洗ったけど 大した重要ファイルは死んでないけど、config類死んでるの超面倒

— Furia (@flammpfeil) 2015, 12月 4

VVV会いましたが、数テラに及ぶ動画ファイルのキャッシュが生け贄となったお陰で、わたしのファイルたちは元気です。 キャッシュの数%ほど変換されるだけで30分とかかけてがんばってたので 普通のテキストとか、画像だと舜殺されそうね

— Furia (@flammpfeil) 2015, 12月 6

殺られたファイルは、タイムスタンプ見るに35分活動してて、300ギガくらいかな 綺麗なデータフォルダ管理してるひとは舜殺だね！

— Furia (@flammpfeil) 2015, 12月 6

関連する最初のツイートは12月4日なので、Twitterで騒動が起きる前に感染されたようです。

こちらの方は動画キャッシュが大量にあってそれが暗号化されている間、時間を稼いでくれた事や、ランサムウェアの異常な挙動に気付けた事、そして駆除の対処が自力で出来た為に被害は殆ど無かったとの事でした。


騒動直後にvvvウイルス(仮)を確認したと思われる人は以下の方。

きた！ウチで "いわゆる VVV ウイルス" の来襲を確認した！

— Tsukasa.01.txt.vvv (@a4lg) 2015, 12月 9

このサンプルは、"請求書 (Invoice)" という形で届いたメールの添付ファイル (ZIP) の中にある JScript を実行したときにダウンロードされるもの。見ての通り、VVV 拡張子がくっついた。 pic.twitter.com/Tzc0XLftd6

— Tsukasa.01.txt.vvv (@a4lg) 2015, 12月 9

あ、私のメールアドレスだけじゃなくて、母親のメールアドレスにも "いわゆる VVV ウイルス" の検体が来てたのか。

— Tsukasa.01.txt.vvv (@a4lg) 2015, 12月 9

母親のメールアドレスに来た分についても (母親がスパムウザイというので) メールゲートウェイと同じ SpamAssassin でフィルタするようにしてるけど、こっちは全てスパム判定されて終わってる。対して私のアドレスに来たのはフィルタをギリギリすり抜けた。

— Tsukasa.01.txt.vvv (@a4lg) 2015, 12月 9

英語のスパムメールが危ないというのは今も変わらない様です。


・感染を記録した動画と、Twitterでの検証報告まとめ
YouTubeに、感染を記録した海外の方の動画が公開されています。

公開日は2015/12/05で、TeslaCrypt new versionとあり、4：13頃に表示される脅迫文章が上の柑橘.vvvさんの提示したものと同じです。

ビットコインの支払い額表示は4:52頃から見れます。
また、5：12頃からは「1ファイルだけタダで復旧させるボタン」を試す様子が見れますが、このボタンは、被害者に復旧の希望を持たせて金払いを良くさせる意図があるものと考えられます。


6日にTwitterのTLを見ていたら、何人か実験と解析用にvvvウイルス(仮)を欲しがっている人を見かけたのですが、その中の1人が検体を手に入れた様で、挙動の解析を行った報告のまとめがTogetterにありました。
→ .vvvでお馴染みのランサムウェアの動きを調べてたら無力化できたっぽい - Togetterまとめ

いっきまーす pic.twitter.com/IF95ZNxU3g

— 宮っち/ふーか@イプ募 (@202miyako) 2015, 12月 7

防御が保証されるものでは無いとしていますが、無力化の一例まで投稿されています。


・Windows8以降では感染しない？
Twitter上で、この噂が流れていましたが、実際はそうでは無い様です。(※以下情報元引用)
→ ファイルをVVVに書き換えるランサムウェアの蔓延とWin10の強制アップグレードで感染する事例が急増！？ - Windows 2000 Blog
※こちらの方、黒翼猫さんが国内外の色々なデータを収拾してまとめて下さっていたので、記事を読むと非常に参考になると思います。

Delete Trojan:Win64/Patched.AZ.gen!dll Virus Thoroughly - RemoveAllThreats.com
Trojan:Win64/patched.az.gen!dll HELP - Microsoft Community

SpyHunter 4の技術者が書いてる記事なんであれなんですけど、 VVVウィルスは
Win64/Patched.AZ.gen!dll という名前から、64bit ターゲットのウィルスみたいで Windows XPから10まで観戦するっぽい。同名のウィルスが Windows 10でも感染報告が上がっている

また、何処で感染したのか分からないという報告が多い事から、それらの感染ルートはOSの脆弱性かJava/Flashの脆弱性を突いた可能性が推測されます。
ウェブサイトに何らかの形で仕込まれていた場合に(例えば噂になっている広告感染説など)、脆弱性がある状態で閲覧した時点でアウトとなる可能性が高いです。

ただ、広告が感染源としてもGoogleなど有名な広告サービスが悪用されているとしたら相当な被害が出ていておかしくないと考えられますが、今の所はそうでは無いので、今は海外系のマイナーな広告サービスが悪用されているか、独自の偽装広告が感染源の可能性があります。
同じ理由から、ページビューの多い有名サイトに行って感染した(する)可能性も低いと考えられます。

他の感染源としては、以下の方のブログ記事によると、メールの添付ファイルを開いた事による感染パターンもある様です。
→ ｜パソコン修理、パソコン出張サポートなら姫路のパソコンサポートセンターマックス・マックスプランニング合資会社


・他のOSでは感染しない？
TwitterでMacとLinuxのクラスタをウォッチしていましたが感染報告は見ていません。
但し、MacやLinuxを対象としたランサムウェアは他に存在します。
→ Mac OS Xでもランサムウェア感染の可能性、シマンテックが実験で確認 | マイナビニュース (2015/11/11付)
→ Linuxランサムウェア「Linux.Encoder.1」の被害が拡大か--多くのウェブサイトに感染 - ZDNet Japan (2015/11/16付)

今回は大丈夫とはいえ、PC向けのOSシェアは相変わらずWindowsが圧倒的なので、MacやLinuxユーザーを対象としたランサムウェアに狙われて被害者が出ても周知されにくいという状況がある事も付け足しておきます。
→ Windows 8.1が2位 - 11月OSシェア | マイナビニュース (2015/12/03付)

また、今回はAndroidとiOSのスマホ・タブレット端末で感染したという話も出ていません。
今後、感染対象のOSを変更する＆増える可能性もありますが、" 今は "Windows以外のOSでネットを使うのは比較的安全と考えられます。


・結局の所、対策は？

• 最新のWindows Updateを適用する。
• JavaとFlashを最新にする。
• ブラウザを最新にする。
• その他、ネットに繋がるソフト・ハードを最新にする。
• Adblockなどの広告ブロックアドオンを入れる。
• JavaとFlashの利用を制限するアドオンなどで最低限の利用に留める。
• 怪しいサイト、特に海外の怪しいサイトには行かない。
• 怪しいメール、特に英文メールの添付ファイルを開かない。
• 重要なデータは外部HDDにバックアップを取った後に電源を切っておく。或いはBDやDVD、クラウドドライブにバックアップを取る。
• Cドライブは外部ドライブにクローンを取って置くと復旧が楽。
• ユーザー アカウント制御 (UAC) はオンにしておく。(※CryptoWallの最新版では効果が無い様です。)
• Windowsを使わない・・・

これらが有効だと考えられます。
最後の事項は究極的ですが、今回の場合は一番の有効策ですね。。
但し、未対策の脆弱性を狙った「ゼロデイ攻撃」は防げないので、今後も油断は大敵です。

肝心なセキュリティソフト(ウイルス対策ソフト)は、カスペルスキーがvvvウイルス(仮)に対応しているみたいですが、事後検出の情報を見ただけで、感染自体を防御してくれるのかは良く分かりませんでした。
他のソフトではvvvウイルス(仮)自体をみつけられないという話が多く、これらは追加調査が必要な案件です。
セキュリティー会社によって名称は違いますが、現状のvvvウイルス(仮)は発見する事が出来るようです。

セキュリティソフトといえば、偽セキュリティーソフトを勧めて来る所もある様なので気を付けて下さい。(※黒翼猫さんのツイートより)

VVVファイルの除去ツールとして、偽セキュリティソフトで有名な SpyHunter 4のインストールをこっそりすすめているサイトが激増しています、絶対入れないでください

— |黒翼猫|ω･)｡o(水西へ08a) (@BlackWingCat) 2015, 12月 5

実際、私が情報を探している最中にも、このSpyHunter4を勧めてくるサイトに出くわしました。

googleで検索して出てきたサイトですが、英語のVirusでは無く何故かローマ字のUirusuが綴られており、変なページタイトルとサイト名とURLに違和感がバリバリです。
(ちなみに、このサイトのサーバーの所在地は日本でした。)

アクセスしてみると、ページの最初の方に書いてある事は他のセキュリティ系のサイトにもある正しい情報が書かれていましたが、途中からはSpyHunterのゴリ押しで酷かったです。
他の変な所は「フルバージョンを買って下さい。」が「プールバージュンを買って下さい。」となっていたり、英語のサイトを翻訳しているからか、日付表示が日本的では無い「22/09/15」となっていたりする所ぐらい。
正直、思ったよりも違和感は少なく、これだとSpyHunterを知らない人で騙されてしまう人は居そうかなと感じました。

もしも、誤ってインストールしてしまった場合のアンインストール方法は、以下の方のブログ記事が詳しいので参考にして下さい。
→ 怪しいウィルス削除ソフトSpyHunter4の挙動とアンインストール : チラウラ２


・シャドウコピー(ShadowCopy)からの復旧について
事前に定期バックアップ機能であるShadowCopyを取るようにしておけば、感染してもShadowExplorerでファイルが復旧出来るという情報がありました。
→ シャドウコピーとは｜shadow copy｜シャドーコピー - 意味/解説/説明/定義 ： IT用語辞典

紹介してもらったShadowExplorerってソフト使ったらデータがあっさり生き返って声が出ない pic.twitter.com/lk9Nlllya6

— 木甘橘 (@kankitsu0) 2015, 12月 8

少し勘違いなさっている方がいるようなので一応補足。 今回ShadowExplorerでデータが復元できたのは、私が以前作ったシャドウコピーというバックアップのデータが残っていて、そのデータがウイルスの被害にあっていなかったからです。 暗号化されたデータを復号化できた訳ではないです

— 木甘橘 (@kankitsu0) 2015, 12月 9

さらっと外付けHDDがvvvにやられてたけどShadowExplorerで普通に治った。中身がネコ画像のバックアップやら下らないもので埋まってたが...

— のんびり者 (@Nonbirimono321) 2015, 12月 12

ShadowCopyからのファイル復旧に関して検証された方のツイートは以下です。

というわけでサクッと隔離環境にWin10TPな仮想マシン組んでオフラインで踏ませてみた。 1枚目:jsをIEで実行すると落ちてくる(筈の)ファイルを開いてみる 2枚目:オフラインなのでMS SmartScreenに怒られる pic.twitter.com/G8slRw1sx8

— だて/プリパラ緑熊@しおり (@dfm_radio) 2015, 12月 12

続いて 1枚目:87.exeとして実行開始、HDDが仕事し始める 2枚目:変なプロセスが見えたので場所を開いてみたら案の定自分自身をコピーしてた 3枚目:VSS(シャドウコピー)を無効化しようとする(いいえを選択するのが無難 pic.twitter.com/Koh3AFLtB3

— だて/プリパラ緑熊@しおり (@dfm_radio) 2015, 12月 12

そして暫くHDDがガリガリと動いたあと… ファイルが暗号化されて拡張子に.vvvが付加されて、 「お前様のファイルは暗号化されました＾＾」という旨を伝える画像が表示される、と。 pic.twitter.com/pWmVfImlsn

— だて/プリパラ緑熊@しおり (@dfm_radio) 2015, 12月 12

メールに添付されてるjavascriptファイル(とそれを圧縮したzip)は大抵のアンチウィルスソフトとか、メールサービス側のアンチウィルスフィルタに引っかかって蹴落とされるはずなんで、 余程のヘマをしなければ＊今回は＊そう簡単には最終段階までは進まない…はず。

— だて/プリパラ緑熊@しおり (@dfm_radio) 2015, 12月 12

実際に感染後の復旧は出来た様です。

復旧にはいくつかの条件を満たす必要がありますが、条件をまとめると以下となります。

• 暗号化の復号化では無いので、ShadowCopyを導入していないと復旧できない。
• SSD/HDDに対象ファイルのShadowCopyを取るだけの容量が必要。
• UACをオンにした状態で、感染してUAC警告が出た時に「いいえ」を押す事。

vvvウイルス(仮)はShadowCopyも暗号化しようとしてくる様ですが、その際、UACに阻まれるので、UACの警告が出た時に「いいえ」を押す必要があるとの事です。

但し、TeslaCryptの派生元となったランサムウェアCryptoWallの最新版である「CryptoWall4」では既にUACの対策がされているらしく、ShadowCopyからの復旧は望めないという情報も出ていました。
→ Cisco Talos Blog: Threat Spotlight: CryptoWall 4 - The Evolution Continues

this allows the deletion of all available shadow copies without the end user being prompted with the UAC (User Account Control) dialog to 'Approve' the deletion if the user has administrator level access rights.

https://t.co/18KfHIwMma CryptWall最新版はやっぱりUACのダイアログを出さずにシャドウコピー(Shadow Copy)を全削除からの無効化出来るようなコードが仕込まれてるのかー…これTeslaの方にも実装されてたら嫌だな

— だて/プリパラ緑熊@しおり (@dfm_radio) 2015, 12月 12

TeslaCryptとCryptoWallはお互いに進化し続けているので、TeslaCryptへの同機能の実装は時間の問題だと考えられます。



・他に気をつける事 ~ その1 ~
12月6日朝の時点でTwitterでは色々な情報が流れていましたが、本当の情報に紛れてさらっとデマが混じっていたり、推測の情報がいつの間にか断定にすり替わっているものが出ました。

他に、Twitterだと憶測・推測だけで大量に出回ってしまった様な「不都合があるツイート」が消される傾向にあり、それを後でまとめた人のツイートや記事だけが残るという事態が、今回の件でも発生しました。
実際、この記事に使おうとしたツイートが消えてしまい、残った情報がパクツイやまとめの方しか無いというものもありました。

そういう事もあるので、まとめ系のツイートや記事(うちを含む)も、情報ソースが確かな正しい情報が出揃うまでは鵜呑みにはしない方が良いです。

色々ツイート消してしまって申し訳ない、私も情報を集めルナかで微妙に間違ってる情報もまとめてしまっていたようです。ブログ記事ならば修正も簡単なのですが、今回はまとめサイトの広告危ないが発端だったのでツイートでまとめてた方が安心できるかなと思い、こういう感じになってしまいました。

— 笠 希々 (@animekannsou) 2015, 12月 6

こちらの方のツイートの様に削除した経緯を丁寧に書いてくれる人もいますが、殆どの場合、削除された理由は書かれず突然消えます。


・他に気をつける事 ~ その2 ~
vvvウイルス(仮)の情報を探そうとした結果、ランサムウェアを含む悪質なマルウェアを提供するサイトや、上にも書いた偽セキュリティソフトを提供するサイトに辿り着いてしまい、ミイラ取りがミイラになってしまう可能性が危惧されます。
Twitter上での調べ物でも、混乱に便乗したアカウント乗っ取りの可能性や、悪質なマルウェアへの誘導の可能性があるので、怪しいリンクは踏まないようにした方が良いです。

他にも、Twitter上では「コマンドプロンプトでcmd /c rd /s /q c:\を入力すると良い」という様な悪質な情報が出回っていました。
このコマンド、知っている人は知っている話ですが、入力するとCドライブのデータが削除されて消えます。
→ cmd /c rd /s /q c:\とは (バルスとは) [単語記事] - ニコニコ大百科

2000年代の2ちゃんねる(2ch)にて度々被害者を出して話題になったものなので、2ch全盛期を知る人の認知度はそれなりにあるものと思われますが、今はSNS全盛時代なので、2chという魔の巣窟を知らない若年層が狙われてしまっている様でした。

Twitterの問題は2chと違って流れが早く、スレッドでまとめられているものでは無いので流れからこのコマンドが怪しい情報だと察する事が難しく、指摘してくれる人も非常に少ない事です。
以下の様に度々Twitterユーザーが狙われているので、これからも十分気を付けて下さい。
→ ｢cmd /c rd /s /q c:｣で餓鬼達を泣かそうぜ？ | ログ速@２ちゃんねる(net) (2011年)
→ 【警告】「cmd/c rd/s/q c:」 パソコンが起動不能になるコマンドが小中学生に拡散中！ - NAVER まとめ (2012年)


・Twitter内外での騒動の流れ
今回、Twitter内外で騒動が拡大して収束していく様子を一部始終ウォッチ出来たので、羅列してまとめておきたいと思います。

--11月末～12月5日----------------------------

• ブログやTwitterや質問サイトでランサムウェアの感染が報告されていた。

--12月5日(土)AM9:55----------------------------

• Twitterに騒動の起因となったツイートが投稿される。
• 一連のツイートがTwitterまとめサイトにまとめられて拡散されはじめる。

--12月6日(日)AM2:00前後--------------------

• フォロワー数の多い有名人が、関連ツイートをリツイートし始めて注目度が一気に高まる。
• フォロワーらが情報収集し始める。
• vvvウイルスという通称が出回り始める。
• TwitterトレンドとYahoo!ランキングにワードが挙がり始める。
• 情報ソースが明確な情報に混じって、推測・デマ情報が混ざりだす。
• 間違った情報を正しい情報に修正する流れも始まる。
• チラホラと感染報告ツイートが見られたが、「感染したらしい」という又聞き話に埋もれて、正しい感染報告は判別つかない状態に。

--12月6日(日)AM6:00頃～---------------

• 人が活動しだし、情報が錯綜して混乱が起き始める。
• 推測・デマ情報が確定情報に変化し始める。
• 速報系まとめサイトに騒動が掲載され始める。
• 広告が多い所＝速報系まとめサイトが危ないというツイートが出回り出して支持され始める。
• 全てがデマという人も現れ始める。
• Twitterでの情報収集が困難になる。
• Twitter以外にも情報が拡散しネット界隈がザワつきだす。

--12月6日(日)PM15:00以降-----------------

• Yahoo!ニュースに今回の騒動が紹介される。
• ネタツイートが増え始める。
• 初期の推測・デマツイートに手痛いツッコミが入り、削除され始める。
• 初期に支持を集めた憶測・デマを含むまとめツイートが拡散されすぎて、有用な正しい情報が隠れてしまう事に。

--12月6日(日)PM18:00以降--------------

• テレビ番組の話題が増え始めてTwitterで騒動が沈静化し始める。
• Twitterのトレンドからもワードが消える。

--12月7日(月)--------------------

• 速報系まとめアンテナや、アフィリンクなどに誘導する釣りツイートが増える。
• 虚構新聞のネタとして掲載される。

こんな感じの流れで、Twitterの強みも弱みも2011年の3.11の時から変わっていないというか・・・悪化しているなと思ったウォッチ結果でした。

以下は、騒動沈静化後のTwitter内外の流れです。

-12月8日(火)--------------------

• トレンドマイクロから分析情報が出る。
• vvvウイルス(仮)を添付したスパムメールが増え続ける。

-12月9日(水)--------------------

• トレンドマイクロからの報告で、イギリスの大手新聞サイトが改ざんされ、vvvウイルス(仮)などに感染する状態にあった事が判明する。

-12月11日(金)--------------------

• ESETから解析情報が出る。
• トレンドマイクロからスパムメール急増についての追加分析情報が出る。
• Twitterでの関心は既に他に移り、セキュリティ会社の情報はあまり拡散されていない様子。

また、Yahoo!検索によるツイート数の推移(30日間、7日間)は以下。
→ 「vvv ウイルス」のYahoo!検索（リアルタイム） - Twitter（ツイッター）、Facebookをリアルタイム検索

検索ワードが「vvv」のみだと「笑い」の表現が含まれてしまうので、「vvv ウイルス」で検索しています。
なので、表示されている件数は氷山の一角です。


・Twitterをウォッチしていて特に気になった事
vvvウイルス(仮)の問題をまとめた箇条書きツイートがいくつも出回って、その内容が何度か書き換わっていく様子をウォッチしていましたが、騒動中期にツイートされ善意の事ながら混乱を加速させてしまったツイートがありました。

VVVウイルスに関して注意喚起用文章を作成しました。 当該内容に関する著作権を永久に放棄します。本内容は転載・改変・転送・送信は自由です。 職場等での注意喚起にお使いください。 pic.twitter.com/2tyArzPebh

— REY@FGO/ガジェット (@rey1229) 2015, 12月 5

それがこちら。
画像なので修正しにくい、推測情報が混じっている、セキュリティ専門家・セキュリティ会社による注意喚起では無いなどの事から、「これはマズくないか？」と思っていたのですが、あっという間に拡散されてしまい、その後出てきた情報も隠れてしまうという結果になってしまいました。

VVVウイルスに関する注意喚起として拡散された画像の検証結果が公開されています。 現在拡散されている情報はデマの可能性が高いです。 セキュリティ関連企業からの発表もありませんので不用意な発言は自粛しましょう。 ただ警戒は怠らずに pic.twitter.com/5BRCFhIOXf

— RSS Media (@rss_news_media) 2015, 12月 6

拡散が進んでから、こちらのツイートの様にツッコミが入りました。
尚、REYさんが善意で作成したものながら、デマを拡散させたとして批判も受けた様で、本人も想定していなかった反響があった様です。

画像によるまとめは箇条書きタイプ以外にも時々Twitterで見ることがありますが、ブログやWikiなどと違って修正される事も少ないものなので、鵜呑みにはしない方が良さそうです。


・セキュリティ会社の情報
12月8日付のトレンドマイクロ セキュリティブログ記事にて、今回騒動となったvvvウイルス(仮)の分析情報が公開されました。
→ 「vvvウイルス」の正体とは？ ランサムウェア「CrypTesla」の流入は限定的 | トレンドマイクロ セキュリティブログ (2015/12/8付)

トレンドマイクロでは、「CrypTesla」の感染経路として、マルウェアスパム経由と脆弱性攻撃サイト経由の2種の攻撃の存在を確認しています。国内にはこれらの感染経路でこのランサムウェアが流入したことが推測されます。特に、12月2日以降には米国を中心にZIP圧縮したJavaScriptを添付したマルウェアスパムにより「CrypTesla」を拡散させる攻撃を確認しています。

記事にある通り2種類の攻撃が合った様で、つまりは感染報告にあった事を当てはめると

• 「知らぬ間に感染した」→「攻撃サイト経由」
• 「メールの添付を開いたら感染した」→「マルウェアスパム経由」

という事になるのだろうと考えられます。

また、全世界で12月1日以降に確認されているvvvウイルス(仮)が添付されたスパムメールの数は、19,000通以上あるそうで、添付ファイルを開いた事と推測される不正サイトへのアクセスも6000件近く確認されているそうです。
その内、日本からのアクセスは100件で日本への流入は限定的であるとも報告していました。

しかし、12月11日にはこの見解が一変、次の追加情報が発信されました。
→ ランサムウェア「CrypTesla」を拡散させる一連のマルウェアスパム攻撃を詳細分析 | トレンドマイクロ セキュリティブログ (2015/12/11付)

ブログ執筆時点ではこのマルウェアスパムの 日本への流入は少量と見ていましたが、12月9日時点においてこの手口に関連する不正URLのブロック数が国内で急増しており、日本にも相当数が流入していることが確認できました。

問題のスパムメールは日本での騒動直後に急増したとの事です。

また、同日にはESETからの解析情報も公開され、ランサムウェアCryptoWallと亜種(TeslaCryptも亜種)が添付されたマルウェアスパムが過去に類を見ないほど日本でばらまかれている事を報告しています。
→ ばらまき型メールによるランサムウェア感染が国内で増加中 | ウイルス・セキュリティニュース (2015/12/11付)

亜種も含めると世界の中でも日本での検出が最も高い数値になっており、日本で検出されたウイルス全体の約36.6%（2015年12月9日までの一週間）を占めています。