ナギサものおき

ランサムウェア、通称「vvvウイルス」のウワサはどこからデマなのか?

calendar

reload

ランサムウェア、通称「vvvウイルス」のウワサはどこからデマなのか?
免責事項

情報の正確性には注意しておりますが、万一、本記事によりいかなる損害が発生しても責任を負いかねます。ご了承ください。

「vvvウイルス」とTwitterや質問サイト等で呼ばれ始めているマルウェア。多くのファイルを使用不能にするもので、しかもウェブサイト上の広告を「表示しただけ」で感染するという共通認識が形成され始めており、被害を恐れている方も多いとは思いますが……

調べてみると、かなりデマであるような部分が多く、「通常のネットサーフィンに抵抗を感じるほど恐れる価値はない」と結論付けられました

vvvウイルスとは?

044

vvvウイルス(Twitterで生まれた俗称)は、ネットサーフィンによって感染(以下に詳しく説明しています)する可能性がある「ランサムウェア」です。ランサムウェアとは、ファイルを暗号化してしまい、そのファイルの”身代金”を要求するという手口のマルウェア(悪意のあるプログラム)。

「ファイルを暗号化してしまう」というのは、「このウイルスの作者がファイルにカギをかけてしまう」というようなことで、例えば画像が暗号化されてしまうと、フォトビューワーとかペイントソフトとかでは開けなくなってしまうというわけです。

当然、カギ(パスワードのようなものですが)はこのウイルスの作者しか知らないので、もし自力で元のファイルに戻そうとするなら、相当な解析が必要となります。そこに付け込んで”身代金”を要求するわけですが、相手は犯罪者ですから、それを払ったところでファイルが戻るという保証があるわけがありません

暗号化されるファイル

以下に該当し、アクセス可能な全てのファイルが暗号化されてしまい、ファイル名末尾に「.vvv」が追記されてしまうとのことです。

.sql, .mp4, .7uit, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .ritssluiting, .zij, .som, .iBank, .t13, .t12, .QDF, .gdb, .belasting, .pkpass, .BC6, .BC7, .BKP, .Qin, .BKF, .sidn, .Kidd, .mddata, .ITL, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .Gho, .geval, .svg, .kaart, .wmo, .itm, .sb, .fos, .mov, .VDF, .ztmp, .zus, .sid, .NCF, .menu, .lay-out, .DMP, .bobbel, .esm, .vcf, .VTF, .dazip, .FPK, .MLX, .kf, .IWD, .LSC, .tor, .psk, .rand, .w3x, .fsh, .ntl, .arch00, .lvl, .SNX, .cfr, .ff, .vpp_pc, .LRF, .m2, .mcmeta, .vfs0, .mpqge, .KDB, .db0, .dba, .rofl, .hkx, .bar, .kve, .de, .mensen, .litemod, .aanwinst, .smeden, .LTX, .bsa, .apk, .RE4, .weken, .lbf, .slm, .bik, .EPK, .rgss3a, .vervolgens, .groot, portemonnee, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .hemel, .de, .X3F, .SRW, .PEF, .ptx, .r3d, .RW2, .RWL, .rauw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .KDC, .dcr, .CR2, .CRW, .bay, .SR2, .SRF, .ARW, .3fr, .DNG, .JPE, .jpg, .cdr, .indd, .aan, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .WPD, .DXG, .xf, .dwg, .pst, .accdb, .CIS, .PPTM, .pptx, .ppt, .XLK, .XLSB, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .Ep, .odm, .Reageer, .paragraaf, .odt

“Verwijder TeslaCrypt en herstel .vvv gecodeerde bestanden” より引用(2015/12/7 閲覧)

見てみると、動画(mp4など)、画像(jpg、pngなど)、オフィス文書(docx、odt、xlsxなど)、PDF文書(pdf)、書庫(rar)など、“実際に我々が閲覧するファイル” が対象になっていることがわかります。

逆に、「.exe」など実行ファイルが存在しません。つまり、わざわざOSの動作に支障をきたさないようになっているというわけ。だって身代金を要求しないといけませんから、OSに死なれたら困りますしね。

情報が錯綜

そんなわけで憂慮すべき問題に間違いないのですが、特にSNS上では情報が錯綜してしまっています。

こんな「注意喚起」が拡散されたかと思えば、

その「注意喚起」の信憑性を疑うツイートも登場。

※注:筆者は、以上2つの情報源に賛同する意図で引用したわけではありません。

一体何を信じればいいのか……この記事では、疑問点になりそうなものを、多くの情報源からまとめました。

vvvウイルスの存在←事実

まず、vvvウイルスの存在自体は、残念ながら本当です。

vvvウイルスと検索してもセキュリティ関連の正式な情報が見つからないからデマではないか、と考える人もいるようですが、vvvウイルスは同じくランサムウェアの「TeslaCrypt」の新バージョンであるということが報告されています。

A new version of the TeslaCrypt ransomware has been released that for the most part is identical to previous versions.

– “New TelsaCrypt version adds the .VVV Extension to Encrypted Files” より引用(2015/12/7 閲覧)

上記ソースによれば、TeslaCryptの前バージョンとほとんどの部分は同じではあるが、拡張子「.vvv」を暗号化したファイルに追加するように変更された、とのこと。11月末あたりからの変更であるようです。

つまり、今までもTeslaCryptは存在してはいた(この情報によると、今年3月から発見されていた)のですが、「.vvv」という謎の拡張子によって話題性が向上したように見えます。

この「.vvv」になぞらえて「vvvウイルス」という語句がTwitterかどこかで言われ始め、そしてまとめブログに転載されていき、様々なネットユーザーに知られていくことになります。

つまり、「vvvウイルス」は出来て1週間くらいしか経過していない非常に若い言葉なのです。そりゃあ信憑性がバラバラな情報ばかり出そろうことになるでしょうな……

感染源は広告←可能性が高い

感染源として、「広告を表示」が挙げられていますが、これは可能性が高いといえます。

TeslaCryptの感染経路としては、「メールの添付ファイルを開く」「ネットサーフィン中に自動的にインストールされてしまう」の2パターンがあり、今回のvvvウイルスは後者であるとのこと。

041

※ソース・画像元:Microsoft Malware Protection Center

で、今回はTwitter上や質問サイトでもある程度の感染が報告されているため、感染源のサイトはさすがに1つではないと考えられます。すなわち、「どこかの特定のサイトが改ざんされてウイルスが仕込まれた」のではなく、「多数のサイトで共通して呼び出す”何か”にウイルスが仕込まれた」と考えるほうが妥当

“何か”とは何でしょうか。ずばり、広告です。

広告は、現在ジャンルを問わず幅広いサイトで使用されています。また、広告ネットワークによってはまるで広告出稿主の審査をしないようなものもあります(特にアダルト系は普段からワンクリック詐欺の広告が多い……よね、みんな知ってるよね?え?)。ここに付け込まれている可能性が非常に高いです。

ITジャーナリストの三上洋氏も、「現状で、ランサムウェアが流行する理由が他に考えにくいので、広告が理由ではないかと個人的に考えております。」とこの記事で書かれています。

もちろん情報が錯綜していることもあり、「断言」はどうしたってできませんが、審査がガバガバな広告ネットワークは怪しいという認識でよいと思います。となれば、バックグラウンドがよく分からないアダルトサイトや著作権的に違法なサイトは特に警戒するべき部類の1つであるということ。てか普段から閲覧しないに越したことはないのですけれどね……

vvvウイルスはパンデミック的に広がっている←勘違い

042

IPA(情報処理推進機構)は、インターネット全体に関わるような重要なセキュリティ情報を知らせてくれます。例えば最近だと、Adobe Flash Playerに脆弱性(攻撃者にパソコンを操作されてしまうような抜け道)があった、という内容を11月11日まで更新しています。

Flashはほとんどのブラウザでサポートされており、そして多くのサイトで使用されているので、これはインターネット全体に関わる重要なセキュリティ情報だから掲載した、ということですね。

で、vvvウイルスがもしパンデミック的に大規模に広がっているのであれば、このIPAの情報として発表されているはずです。

それどころか大企業の顧客情報が暗号化されてアクセスできなくなった、などという重大事件が同時多発的に発生し、経済すら大混乱に陥っていてもおかしくはないでしょう。しかし、実際そうはなっていません。

すなわち、「ウイルスがパンデミック的に広がっている」と思われているとすれば、それは勘違いです。一部の限られた人のみが感染しているのを、SNSによって拡散され、その凶悪さが話題に上ることによって、実態より重い状態であるように見えてしまうのです。

もちろん「自分は大丈夫」なんて軽く考えるべきではないのは言うまでもありませんが、今日のネットサーフィンを控えるほど恐れおののくほどのこととは思えません。

まとめブログばかりで感染が報告←デマ

感染元のサイトとして、以下のようなブログが疑わしい、なんていう出所不明の情報がありましたが……

vvvウイルス感染報告が多いサイトまとめ
・やらおん!
・ハムスター速報
・はちま起稿
・オレ的ゲーム速報@刃
・ニュー速VIPブログ
・暇人速報
・アルファルファモザイク
・あじゃじゃしたー
・痛いニュース
・VIPPERな俺
・キニ速
・哲学ニュース

これ、おかしいと思いませんか? だっていわゆる「まとめブログ」(もっと言えば「アフィカス」)ばかりじゃないですか。広告なんて今時どんなジャンルのサイトにもあるので、こんなに共通項のあるサイトのリストが出てくるというのはおかしなことです。何故こんな情報が流れるのでしょうか。

当ブログをはじめ他の多くのブログは、当然ほとんどの文章を書き下ろして記事を作るのですが、これらのブログはそうはしません。Twitterやら何やらの情報源から転載してきて成形するということを大量に行い、アクセスを得、収益を増やすという狙いがあるのです。

そういうわけで、それをよく思わない人間が大勢います。調べりゃ分かる情報をまとめるだけで稼いでいるわけですから。ってことは、これらのブログのアンチによるデマじゃないかと考えたほうが妥当です。こういうデマを流せばブログへのアクセスが減り、収入を落としてやれるという狙いがあるはずです。

実際にこれらブログを調べてみたところ、広告表示にはGoogle AdSenseなど大手のものを使用している場合が非常に多かったです。大手の広告ネットワークは、広告募集する際の審査が非常に厳格で、比較的安全です。

というか「パンデミック的に広がっているというのは勘違い」って言っているのに、アクセスが多いこれらのブログから感染しているというのは矛盾します。そうであれば被害者は数十万人と確認されておかしくありません。

もちろん、完全に安全であるわけではありませんけれど。普段これらのブログを見ないような方が、こんな時にわざわざ見に行く価値はありません。

自分はWindowsじゃないから大丈夫←とは限らない

iPhoneだけど大丈夫か、という疑問は非常に多いようです。

現時点ではiPhoneで被害報告はありませんが、ウイルスが対応していないだけです。広告に仕込んだウイルスを適当に差し替えれば、理論上はどんなOSでも感染させることは可能です。

だからなんでも恐れるべきであると言いたいわけではなく、Windowsじゃないから〜とかいう理由で、危険度の高まるような適当な行動をするのはやめましょう、ということです。

対策例

ネット全体が混乱に陥れられるということが思うつぼだよってことを言いたかったのですが、もちろん個人で対策しておくに越したことはありません。このウイルスの感染可能性、そして被害を少しでも小さくする方法を紹介します。

ソフトウェアを最新に

Java、Flash、ブラウザ、PDF表示ソフト、そしてもちろんセキュリティソフトを常に最新にするようにします。もちろん最新であればそれはそれでゼロデイ攻撃(新しい脆弱性に付け込む攻撃)の可能性もあり、完全に安全であるとは言えませんが、古いよりマシ。

Flashはそもそもそれ自体の脆弱性が指摘されているため、積極的に使わないのであれば常にオフにしておいてもいいような気もします。

ファイルをバックアップ

逆に考えてみましょう。このウイルスで嫌な部分は、画像など閲覧したいファイルが閲覧不可能になるということです。感染してしまっても重要なファイルさえ暗号化せずに残ってくれればよいと考えてみると、USBフラッシュメモリー等の、着脱可能なストレージに保管しておけばよいことになります。

例えば私は、もしもブログの記事が再生不可能になったら泣き寝入りレベルですが、そもそも記事はサーバーに保存されているわけですし、定期的にダウンロードしてPCやUSBに保存するなど、バックアップも怠らないようにしています。

情報源まとめ

筆者が信頼できると判断した情報源として以下のようなものがあります。あわせてお読みください。

キーワードとして「TeslaCrypt」「CryptoWall」「Cryptolocker」「ランサムウェア」なども検索につかえます。

「vvvウイルス」というキーワードは、この記事中では「被害報告が現在進行形で広まっている事象」にリアルタイムについた名前だということで積極的に使いましたが、デマを多く含むため、検索キーワードとしては賢明ではありません

終わりに

一旦落ち着こう。

備えあれば憂いなしとは言いますが、楽しいネットサーフィンができなくなれば本末転倒です。

まずは上に挙げたような対策から行ってください。大切なファイルだけでも確保すれば、少しは心の余裕ができるはずです。あとは信頼できる情報源を自分自身で見つけることもできますね。ほどほどに対策し、あとは通常通りにお過ごしください。

※この記事で何か気になることがあればコメント欄か筆者Twitterへ。早急に対処いたします。その際、情報源などがあれば明示していただけると助かります。

この記事をシェアする

folder リテラシー

【Twitter】悪質な連携アプリの解除方法と正しい見分け方を知ろう
more...

folder ブログについて

ものおき、改修しました。
【お知らせ】サーバ変更を完了しました
ブログ1か月続けて思ったこと
more...