パソコンを使っていて怖いのはコンピューターウイルスの感染。
パソコン黎明期からコンピューターウイルスというものはありますが、そのあり方は大きく、変わってきました。
しかし、ある一面においては昔っからあんまり手口は変わっていないという感じもあります。
今回は、去年流行したVVVウイルスの話を中心に最近のウイルス事情を解説しましょう。
(画像は京浜東北線のE233系のVVVFインバータ、今回の話とは一切関係ありません。)
VVVウイルス「ファイルは預かった!解放してほしくば身代金を払え!」
昨年流行したVVVウイルスはランサムウェアの「TeslaCrypt」ウイルスの一種です。
ランサムウェアはファイルにアクセス制限をかけるウイルスのことで、感染したファイルは暗号化されて、開けなくなります。
この暗号化されたファイルを人質にとって、暗号化を解除したければ身代金を払えという動きをするウイルスランサムウェアです。
このウイルスは多くの種類があり、今回は俗にVVVウイルスというものが日本国内でも多く出まわりました。
名前の語源は感染したファイルは拡張子が「.vvv」に書き換わり暗号化されるためで、この.VVVになったファイルを開くためには身代金を払うことを要求されます。
いくつもの亜種があり、「.vvv」に限らず拡張子が置き換わるというモノが多くあります。
単純に今回話題になったのが「.vvv」です。
なぜ多く出回り話題に?
日本国内で多く出回ったのはその感染経路にあります。
2chに書き込まれた内容をまとめる、まとめサイトが日本では今流行っていますが、そのサイトの広告に、クリックするとVVVウイルスに感染するモノがいくつか混ざっていたのが流行し、感染が広がった経緯です。
こういったブラウザで広告をクリックすると、ブラウザの脆弱性を突いて感染するというのは海外のアダルトサイトなどで多くありましたが、今回は国内の人が多く見るサイトの広告という形で感染しました。
このことで多くの注目を集めました。
ちなみに、日本国内に限らず世界に目を向けてみると、そもそもの大きな感染源は、イギリスの大手ニュースサイトが、ハックされて爆発的に広まったという、日本国内と同じ様な経緯の感染源だったりします。
余談ですが、今回のVVVウイルスとは関係ありませんが、スパイウェアにブラウザで偽のセキュリティソフトの広告を表示させて買わせようとするモノも一時期よく見かけました。そちらは内容的には「あなたのコンピューターのウイルス感染を検知しました」というような広告をやたらと表示してクリックさせるというものでした。
メールも大きな感染源
VVVウイルスは初期のウェブサイトからの感染が大きな注目となり、そこが主な感染経路だとされていますが、実際にはセキュリティソフトのベンダーは、メールも大きな感染源だとアナウンスしています。
この点に関しては、従来のウイルスと同様ですが、メールの添付ファイルを開くと感染するというもので、他のウイルスと同様に、メールの添付ファイルからVVVウイルスも感染する恐れがあると注意しておきましょう。
日々対策をしておくことが肝心
VVVウイルスは結局はブラウザの脆弱性を突いて感染するという、ごくごく普通のウイルスと変わらぬ感染源です。
話題になり、感染が広がったのは、国内の2chまとめサイトという、日本人がよく見るサイトが感染源になったことが原因といえます。
対策は他のウイルスとあんまり変わりません。
結局はブラウザやOSの脆弱性を突いているため、WindowsUpdateをきちんとしておく、Flash Playerをアップデートしておく、といった当たり前の対策を怠らないことが肝心です。
また、消えて困るファイルはきちんとバックアップしておくことも肝心です。
ファイルが暗号化されて開けなくなるということは、そのファイルのバックアップさえあれば感染したファイルなんて削除してしまっても問題ないのでバックアップは重要です。
変なメールの添付ファイルは開かないというのもいつも通りの単純な対策といえますね。
「海外で猛威を奮っている」と聞くと対岸の火事のような気がしますが実際にはどこが感染源になったかというだけの話で、ウイルスの脅威はいつでも自分を標的にされているものと考えましょう。
解除手順が確立されてその続き
このVVVウイルス、ファイルが暗号化されて開けなくなるという効果ですが、感染後の対策手段も編み出されました。
暗号化されるということは、暗号を解析して解除すればファイルを復元することができるということでもあります。
セキュリティソフトのベンダーが復号するためのツールを公開していますし、海外の有志もツールを開発して、日本の有志がそれを日本語化したり解説したりもしてます。
日本語で手順の解説をしているninja csirtさんのページhttp://csirt.ninja/?p=193
この方法は、暗号を解除するという手順の都合上、解析には時間がかかります。
人質解放という意外な幕切れ
この後もTeslaCryptは巧妙化され、拡張子が変わらないけど、内部を変更するというようなバージョンアップもされました。
簡単には解除できないように、さらに暗号が複雑になり…と、ウイルスによくある対策の対策の対策の対策…といったイタチごっこの様相を呈し始めたと思ったら意外な幕切れが訪れました。
TeslaCryptの開発者が突然活動を止め、プロジェクトを終了させました。
その後セキュリティ会社からの要請に応じて、暗号化を解除するマスターキーを公開しました。
つまり、身代金目的で誘拐した人質を全て解放することにしたわけです。
多くのセキュリティベンダーは、解除ツールを作成して公開しました。
ESETでの手順やニュースを公開したキヤノンITソリューションズhttp://canon-its.jp/eset/malware_info/news/160519/
ウイルスを開発した人がこういった幕引きをするのはかなり意外な展開です。
大昔のハッカーのような愉快犯ではなく、身代金を要求したにも関わらずです。
あるいは、身代金を要求していたけど、実際のところは愉快犯の側面が強かったのかもしれません。
メールでの拡散も多かったとはいえ、イギリスの大手ニュースサイトをハックするという大掛かりで注目を浴びる拡散手段をとった点もなにか功名心のようなものを感じました。
実際、これほどの技術や世間を騒がせる度胸があるのなら、金銭目的ならもっと上手いやり方があったような気がします。
あなたの会社に狙うウイルス
VVVウイルスのように、日本国内の多くのユーザーに被害を与えたウイルスもありますが、近年の日本ではもっと別のウイルスの脅威があります。
それは、法人を狙ったウイルスです。
日本の省庁が情報漏えいをしたというニュースが度々話題になりますが、これは一般向けのウイルス被害とはいささが事情が変わります。
これは「とりあえず誰かに感染してくれ」という無差別攻撃のような一般向けの攻撃と違い、明らかに標的を定めて攻撃をしてきている例です。
これらは近年巧妙かつ狡猾になってきています。
敵はハッカー?それとも泥棒?
知らず知らずに侵入するハッカーの攻撃というよりも、空き巣や万引き、あるいは詐欺師のような攻撃に見えることが多々あります。
気づかないように侵入することよりも、自ら扉を開いてくれるように誘導して感染するように促すことが多くあります。
具体的な例を挙げましょう。
ある企業の加藤係長は、毎朝メールチェックを始業前にしています。
取引先や下請け先、一部顧客からのメールが毎日数十通届きます。
この中に、ウイルスに感染源となるメールが含まれないと言い切れるでしょうか?
取引先や顧客が感染していることに気づかずにこちらにメールを送っているとしたら、開いたらウイルスに感染する添付ファイルが一緒に送られてきているかもしれません。
納品書や請求書や在庫表などの添付ファイルと一緒に、ウイルスが添付ファイルとして一緒に送られてきていたら間違えて一緒に開いてしまうかもしれません。
無いとはいいきれますか?
実際に新聞を賑わす大企業や政府の関係省庁の情報漏えいのニュースを見ていると、そもそもの感染源はこういったところです。
お疲れ様です、加藤さん
ここでもうちょっと巧妙な罠を見てみましょう。
メールの添付ファイルが危険だと知られている昨今、見知らぬ人からの怪しげなメールなど簡単には開きません。
しかし、条件を絞り込んで行くと、安易にメールを開く可能性があります。
例えば、名指しで「お疲れ様です、加藤さん」という風に名前を入れられていかにも知り合いからのメールを装われたら?
「あれ? 誰だっけ?」と思って開いてしまうかもしれません。
この加藤さんが「加藤係長」というように役職まで特定されていた呼び方だったりしたら?
差出人が「こちら○○商事(取引先の名前)の××です」という風に相手の名前にも具体性があったら警戒心がかなり薄れます。
聞いたことのない名前でも本文に
「この度、異動で担当になりました、後日ご挨拶に伺わさていただきますが、ひとまずメールでのご連絡させていただきました、要件のみの乱筆乱文で失礼いたします」
とでも書いてあったら、もうほとんど疑わないでしょう。
添付ファイルがなくとも「追伸、今度一度ご挨拶も兼ねて飲みにいきませんか? こんな店を見つけました」といかにも飲食店のホームページを装ったウイルスに感染するリンクが貼られたとして、クリックしないと言い切れるでしょうか?
このように、無差別ではなく、特定の個人を標的とするならば、より感染する可能性の方法がとられることがあります。
この加藤さんが、どこの会社で働いているか、そこで係長をしているか、というのは、誰でも知っていることでもありませんが、かといって「そこまで重要に守られている機密」でもありません。
割と簡単にこういった方法がとられるということは留意しておきましょう。
中小企業も狙われている
ウイルス感染による情報漏えいなどは大きな法人や、政府関係の省庁などが新聞を賑わせていますし、被害の多くは規模の大きな大企業です。
今も大企業を標的とした攻撃が増えているというレポートがあります。
しかし、その反面、従業員250人以下の企業が標的となっている例が非常に多いというレポートも同じくあります。
情報社会では会社の規模が小さかったとしても、情報の量が少ないとはいえません。
また、小さいが専門性の高い事業をしている場合は、大規模な雑多な情報ではなく、ピンポイントに重要な情報を扱っていることもあるでしょう。
以前の情報漏えいした一例では、アニメ制作会社が国内外のアニメーターの評価を書き込んだファイルを流出させたことがありました。
こういった専門性の高いリストが出回ることの危険性はかなりのモノです。
日本の中小企業は規模は小さくとも、独自の技術や強みを持っているところが多々あります。
従業員数が十数人程度の製造業でもトヨタのような大企業と繋がっていることも珍しくないでしょう。
自分の勤めている会社が小さな会社だったとしても、悪意を持った人物からは魅力的な情報を扱っているということはゆめゆめ忘れないようにしましょう。
メール乗っ取りの可能性
世の中には便利なWebメールのサービスが多数あります。
無料で複数アカウントを作成でき、どこからどの端末でもログインしてすぐにメールの送受信ができてチェックすることが可能です。
しかし、よく考えると危険性もあります。
メールアドレスと、パスワードでどこからでもログインできるサービスだと、逆にいうと簡単に乗っ取られる可能性があるということでもあります。
メールアドレスは一度でもやりとりした相手なら知っているはずです、後はパスワードさえわかれば簡単にほかの人にログインされてしまいます。
そうやって、乗っ取ったメールアドレスからウイルス感染するファイルを添付されてしまえば簡単に開いてしまうでしょう。
アドレス帳や、送受信の履歴からも、無警戒に添付ファイルを開く相手もピックアップできるでしょう。
送信済みトレイを覗けば普段どんなメールを送っているかもわかり、なりきることも容易です。
また、いくつも簡単にアカウントを作成できることから、普段使っている以外にもいくつもアドレスを持っている人も多いことでしょう。
そういう場合は、普段使っているアカウント以外にはあんまりログインしないことも多く、しばらくログインしていなかったアドレスが乗っ取られていたとしても気付かないことも多くあります。
メーラーソフトを使って、色んなアドレスをまとめて管理しておくか、そうでなければ使わないアドレスは削除しておくようにした方が無難ですね。
ゼロデイ攻撃は週イチペースで現れる
ウイルスの流行りをひとしきり話したところで、ウイルスの出現頻度はどれくらいでしょうか?
ウイルスで防ぎようがないのが、新しい脆弱性などを利用するゼロデイ攻撃です。
通常コンピューターウイルスはコンピューターの穴を突いて攻撃がしかけられます、そしてその問題はすぐさま修正され、ウイルス対策がされます。
この対策されるまでは一日程度。
逆に言うとウイルスが出現してから一日はそのウイルスからの攻撃に対して無防備です、この無防備な期間に攻撃することをゼロデイ攻撃といいます。
この無防備な期間のウイルスの脅威、ゼロデイ攻撃の頻度は大体週一回程度だとされています(2016年現在)
ようするに、週イチペースで万全のセキュリティ体制でも防ぎようのないウイルス攻撃がされていることになります。
今回のまとめ
久々に大流行したコンピューターウイルス、そして、日に日に増えていく企業の情報流出事件。
万全のセキュリティというものはありませんし、対策をしていても、週一で防ぎようのない新たな攻撃がどこかで発生しています。
そしてその攻撃の対象はあなたやあなたが働く会社の可能性もあるのです。
しかしこれらは、対策を重ねることで多少なりともリスクを軽減できます。
- WindowsUpdateを始めとした各種ソフトを最新に保つ
- セキュリティソフトの導入
- いざ感染した時のためのバックアップ
- 怪しげなサイトには近づかない
- メールの安全性の確認
これらは常々心がけるべきです。
特に、今回の件では、メールの危険性が再認識できたことでしょう。
ホントにメールが安全か、きちんとチェックすることが肝心です。
ところで、今朝あなたが開いたメール、ホントにあなたが知ってる人からでしたか?
