警視庁犯罪抑止対策本部がTwitterで、ランサムウェアに感染するメールが12月8日夜から出回っているとして注意を喚起している。スロバキアのセキュリティベンダーESETも、「vvvウイルス」の感染を試みるばらまき型メール攻撃の検出数が、同じく12月8日以降に増加しているとして注意を呼び掛けている。

ESETでは、請求書を偽装したメールの添付ファイルがランサムウェアをダウンロードして実行する仕組みを持っていることを確認したという。「FileCoder.FJ」（別名：CryptoWall 4）と呼ばれるランサムウェアで、PC内のファイルに暗号化を施し、ファイルの拡張子を「.vvv」に置き換えるのが特徴。

ESETによると、ばらまき型メールに添付されていたダウンローダー「JS/TrojanDownloader.Nemucod」は、亜種を含めると、日本での検出数が世界で最も多いという。12月8日以降、検出数が急激に増加。12月3日から9日までの1週間では、日本で検出されたウイルスの約36.6％を占める。

同社では、「過去のケースでもここまで高い数値で確認されたケースは少なく、今後の亜種による攻撃も含め注意すべき事案」としている。

【追記 2015/12/12 15:25】

トレンドマイクロ株式会社も11日、ランサムウェア「CrypTesla（TeslaCrypt）」に感染させることを狙ったスパムメールが日本で増加していることを報告した。

同社は12月8日の時点で、それまでの状況についての調査結果から、このスパムメールが世界的に拡散している一方で「日本への流入は限定的」との見解を示していた（12月8日付記事『「vvvウイルス」こと「CrypTesla」の日本への流入は限定的、トレンドマイクロが公式見解、引き続きセキュリティ対策の実施を』参照）。しかし、その後になって増加したかたちだ。

トレンドマイクロによると、このスパムメールの多くは「Invoice」「Payment」といった請求書関連のメールを偽装しているが、「微妙に件名の文字列や数字列を変化させたり、添付ファイルのファイル名とハッシュ値を変化させたりしながら攻撃を継続しており、セキュリティベンダーによる検出を逃れようとする様子が伺える」。

日本への流入が増加しているとみられるメールは、配達サービスからの請求書を装ったもので、タイトル、本文ともに英語。特別に日本人をターゲットにしているわけではないようだとしている。

添付されているZIPファイルを展開するとJavaScriptファイルが現れ、このファイルをダブルクリックして実行してしまうと、インターネットから不正プログラムなどの実行ファイルをダウンロードして実行する仕組み。なお、トレンドマイクロでは、この時に実行されるファイルが数種類あることを確認しているという。CrypTeslaの場合のほか、正規のウイルス対策ソフト「Avira」のインストーラーの場合もあるという。

JavaScriptファイルを添付する手口のスパムメールは11月末ごろから確認され、12月11日までの累積で11万通以上に達した。トレンドマイクロでは、このJavaScriptファイルを実行した際にアクセスされる不正URLをブロックした件数が、国内において12月9日時点で急増したことを確認。日本にも相当数が流入していると判断した。

トレンドマイクロでは、感染しないための心得を以下のように述べている。

「今回の手口の場合、当然ながらメールを受け取っただけでは感染しません。攻撃者の視点から見た場合、メール受信者をランサムウェアに感染させるためには、添付されているZIPファイル内のJavaScripファイルをダブルクリックさせることが必要です。その際、警告ダイアログが表示されますので、そこでも『はい』をクリックさせる必要があります。受信者は、この複数のクリックに至る間のどこかで『不審』に気付き、思いとどまることができれば、感染を防げます。身を守るためには、インターネットから取得したファイルは、興味深くても、自分にとって必要だと思えた場合でも、不用意に実行しないことが大切です。またいかなる時でも警告が出た場合には無視せず、本当に『はい』ボタンを押す必要があるのか、一旦深呼吸をしてよく考えましょう。」

なお、CrypTeslaの感染経路は、このようなメールの添付ファイルをユーザーに実行させる手口だけではない。改ざんされたウェブサイトを改ざんして攻撃ツールを仕込んでおき、そのサイトの閲覧者のPCにある脆弱性を突いて侵入する手口も確認されている（12月10日付記事『英インデペンデント紙のウェブサイトが改ざん被害、読者に「vvvウイルス」など感染の恐れ』参照）。