12月27日追記・お詫びと訂正あり:「.vvv」ウイルスの被害と対策

https://twitter.com/kankitsu0 柑橘.vvv氏

★12月27日追記

「.vvv」ウイルスについて以下の記事で、続報しております。ご参考までに。

・暗号化で身代金要求「ランサムウェア」対策:読売新聞サイバー護身術 2015/12/27

→vvvウイルスなどのランサムウェアの対策、及び被害にあった場合の対処をまとめ

・「vvvウイルス」被害…添付ファイル、改ざんソフトで拡大:読売新聞サイバー護身術 2015/12/11

→vvvウイルスがTwitterなどで問題になった経緯とお詫びです。

★12月11日追記(お詫び)

いわゆる「.vvv」ウイルスについて、この記事で「ウェブサイト上の不正広告が原因」と取り上げましたが、セキュリティ各社の調査によると、不正広告による被害は確認できず、とのことでした。

筆者の調査不足、および誤認によるもので、大変申し訳ありませんでした。お詫びし、訂正します。

このランサムウェアが問題になる2日前に、偶然にもトレンドマイクロが「不正広告によるランサムウェア感染が確認されている」との調査発表がありました。

筆者記事:広告表示したら感染…ソフト最新化を急げ:読売オンライン「サイバー護身術」

この事象と、「.vvv」ウイルス(ランサムウェア「TeslaCrypt」)が同じものだと誤認したもので、完全に筆者のミスです。大変に申し訳ありませんでした。

この記事の一部に取り消し部分を入れるととともに、タイトルを変更しました。ご迷惑おかけしました。

なおランサムウェアの被害自体は、規模は小さいものの国内で確認されており、警戒が必要です。この「.vvv」ウイルス(ランサムウェア「TeslaCrypt」)の事象とは別に、不正広告表示での不正プログラム感染は出ておりますので、ご注意下さい。

★12月6日17時追記:感染源が広告だいう裏がないとご指摘を頂戴しました。確かにその通りで、裏があいまいで、私が先走りすぎたかもしれません。申し訳ありません。ただ現状で、ランサムウェアが流行する理由が他に考えにくいので、広告が理由ではないかと個人的に考えております。追って調査します。大変にあいまいで申し訳ありません(ここまで追記)

パソコンの主要なファイルが暗号化され、「.vvv」という拡張子がついて、一切読めなくなるという悪質ウイルスが出回っています。しかも感染原因は、ウェブサイトを表示しただけ、バナー広告が原因という厄介なもの。

現象:画像やエクセルファイルが暗号化して読めなくなる。戻るには金を払えという脅迫文が

Twitterで続々と被害が報告されている「.vvv」ウイルス。@kankitsu0柑橘.vvv氏が、詳細な被害報告を上げてくれています。

画像

広告を見ただけで感染する?新種のランサムウェアの被害が甚大すぎる - Togetterまとめ

@kankitsu0 柑橘.vvv氏によると、

ちなみにvvvウイルスだけど、なぜか音楽(mp3、wav、flac)は全部無傷だった

txt、画像、動画、オフィス系が全部アウト

出典:https://twitter.com/kankitsu0/status/673269355518410752

とのこと。10万個以上のファイルがやられてしまい、一切復元できず。画像もすべてやられしまったそうです。

他にもTwitter上で、12月3日頃から複数の被害報告が上がっており、被害が拡大しているように思えます。

====ここから取り消し部分(追記参照)====

原因はランサムウェア。悪質なネット広告が原因で、サイト表示だけで感染する

原因は、人質ソフトとも呼ばれているランサムウェアと呼ばれるコンピュータウイルスです。今回の場合、CryptoWall 4.0と呼ばれるウイルスである可能性が高くなっています。(裏取れず、あとで詳しく調べますので一旦取り消しさせて下さい。11時50分)

こいつは感染すると、パソコンにあるデータファイルの多くを勝手に暗号化し、読めなくしてしまいます。Windowsの復元ファイルもやられてしまい、復活できません。その上で「元に戻すにはお金を払え」と脅迫してきます。

仮にお金を払ったとしても、元に戻せる保証はありません。相手は犯罪者であり、お金だけとって逃げてしまう可能性が高いためです。

犯人は「悪質な不正広告」。ウェブサイトを表示しただけで、ソフトが古いと感染する

原因はサイト上にある広告(主にバナー広告)です。詳しい解説は、筆者の別の記事にまとめていますが、以下のことが原因です。

広告表示したら感染…ソフト最新化を急げ(読売オンライン:サイバー護身術)

●「.vvv」ウイルス=ランサムウェアの感染原因

・犯人はウイルスに感染させるサイトの宣伝を、広告業者に出す

・広告を貼ってあるサイトでランダムに表示される

・広告を表示するだけ(=サイトを表示するだけ)で、見えないところでウイルスに感染させるサイトへ自動誘導される

・パソコンに入っているソフトで攻撃されやすい弱点(脆弱性)がみつかると攻撃

・ランサムウェアに感染

・即座にパソコンのデータファイルを暗号化

という流れです。セキュリティ会社のデモンストレーションでは、サイト表示から、わずか50秒でファイルが暗号化されてしまっていました。表示しだけでやられてしまうので万事休すです。

====ここまで取り消し部分(追記参照)====

対策は「ソフト最新化」。「MyJVNバージョンチェッカ」で確かめて、最新版に変更する

対策は3つ。まずは対象のパソコンですが、Windowsはソフトが古いと感染する可能性があります。今すぐ対策を。

MacとiPhone・Androidでは、現状では被害報告なしなので、急ぐ必要はありません。しかしウイルスに感染させるサイト(脆弱性攻撃サイトでのエクスプロイトキット)が、対応していないというだけなので、今後は警戒する必要があります。

●「.vvv」ウイルスを防ぐ対策

1:ソフトを最新化する

脆弱性を防ぐために、OS=Windows、ブラウザ、Flash、Java、PDF表示ソフトウェアを最新版にします。自動更新の設定にして、警告が出たらすぐに更新してください。

とは言え、どれが最新版かわからない人が多いでしょう。最新版のチェックには、下記のツールが有効です。

MyJVN バージョンチェッカ

画像

これで古いバージョンですと表示されたら、元のソフトの配布サイトへ行き、更新しましょう。

2:Windows Defenderをやめ「ふるまい検知」「不正なURLをブロックする機能」がある有料ウイルス対策ソフトに切り替え

Windowsデフォルトのウイルス対策ソフト、Windows Defenderでは防ぎきれません。怪しい動きをするプログラムをブロックする「ふるまい検知」、既知の攻撃サイトをブロックする機能があるソフトをお勧めします。

具体的には、カスペルスキー、トレンドマイクロ、マカフィー、シマンテックあたりが良いでしょう。

3:SDメモリーなどに重要ファイルをバックアップ。DropBoxなどクラウドの自動更新を一時的に切り、手動バックアップしておく

データファイルをバックアップすること。外付けのハードディスクやメモリーに保存しておくのがベストです。パソコンに接続したままのハードディスクでは、暗号化されてしまうのでアウト。物理的に外せるメディアにバックアップしましょう。

またDropBoxやiCloudなどのクラウドだけでバックアップしている人は、いったん自動更新を切り、手動で別の場所に保存することもしてください。自動更新では暗号化されると、クラウド上のファイルも暗号化されてしまうためです。

まとめ:広告自動切り替えのサイトならどこでも感染の可能性あり

今回のランサムウェアでは、ソフトの弱点=脆弱性が狙われており、各種ソフトが最新なら感染しません。なので、上記の対策1を実行すれば、安全性が高まります。

ただし知られていない脆弱性(ゼロデイと呼ばれる)があった場合、ソフトが最新でもやられる場合があります。ですので、対策2と対策3は欠かせません。

●「.vvv」ウイルスまとめ

・ファイルの拡張子が「.vvv」になってしまい、読めなくなる悪質ウイルス=ランサムウェア

・ソフトが古い場合、サイトを表示しただけ=不正広告表示だけで感染

・対策は「ソフト最新化」「高機能のウイルス対策ソフト」「バックアップ」

なお不正な広告は、どこに出るのか明確にはわかりません。バナー広告の複雑なネットワーク場で動いているため、どのサイトが黒か白かを判別できないためです。単一の広告配信業者を使っているところは大丈夫でしょうが、複数のバナー広告を自動切り替えで出しているところは、すべて被害に遭う可能性があります。

詳しい情報が分かり次第、更新します。