ネット上を騒がせたことも記憶に新しい、ファイルの拡張子をすべて「.vvv」に変えてしまうウイルス。セキュリティ企業トレンドマイクロ社によると、このウイルスは特に日本を狙ったものではなく、日本への流入は限定的としていましたが、12月11日付で更新されたブログにて、この手口に関連する不正URLのブロック数が国内で急増しており、日本における相当数の流入を確認したことを明らかにしました。

マルウェアスパムに添付の JavaScriptファイルを実行した際にアクセスされる不正URL ブロック数推移（トレンドマイクロブログより）

一般に「vvvウイルス」と呼ばれていますが、同社によれば暗号化型ランサムウェア「CrypTesla」の亜種とのこと。なお、ランサムウェア「CrypTesla」を拡散させるマルウェアスパムはJavaScriptファイルを添付しており、12月11日までの累積で11万通以上の拡散が確認されたとしています。

これらのマルウェアスパムの多くは「Invoice」「Payment」など請求書関連の偽装であり、これまでもよく見られていた手口のマルウェアスパムとのこと。微妙に件名の文字列や数字列を変化させたり、添付ファイルのファイル名とハッシュ値を変化させたりしながら攻撃を継続しており、セキュリティベンダによる検出を逃れようとする傾向があるようです。

ZIP圧縮したJavaScriptファイルが添付されたメールの拡散状況

添付されている ZIPファイルを展開するとJavaScriptファイルが現れ、このファイルをダブルクリックして実行すると、インターネットから実行ファイルを取得して実行します。この時実行されるファイルは数種類あり、「CrypTesla」ファミリの不正プログラムである場合と、正規ソフトである「Avira」というウイルス対策ソフトのインストーラである2パターンが確認済みです。

ダウンロード元URLは、ブラウザやwgetコマンドなどでアクセスした場合はエラーとなりますが、JavaScriptファイル実行によってアクセスした場合はファイルがダウンロードされるなど、動作を振り分ける仕組みを持っているとのこと。これはセキュリティベンダによる調査を困難にさせるための手法と考えられています。

確認されているマルウェアスパムの例

なお、今回日本への流入の増加が推測されているマルウェアスパムは、タイトル、本文ともに英語であり、特に日本人をターゲットにしているわけではないようです。しかしながら配達サービスからの請求書を装っているものもあるので注意が必要でしょう。

今回の手口の場合、メールを受け取っただけでは感染しません。ランサムウェアに感染するには、添付されているZIPファイル内のJavaScriptファイルをダブルクリックする必要があるためです。その際、警告ダイアログが表示されるはずなので、この複数のクリックに至る間のどこかで「不審」に気づき、思いとどまることができれば、感染を防ぐことができます。

インターネットから取得したファイルは、興味深くても、自分にとって必要だと思えた場合でも、不用意に実行しないことが大切だとトレンドマイクロ社は注意喚起を促しています。またいかなる時でも警告が出た場合には無視をせず、本当に「はい」ボタンを押す必要があるのかをよく考える必要がありそうです。

（高城歩）