確率論によると、妙な出来事が時折、起こるべくして起こるものだそうです。特別におかしなことが起こる可能性は小さいながらもありますし、私たちが「これは、変」と思うような出来事や事件は無数にあります。そして時には、こうした妙な出来事が朗報であることもあります。たとえば、ランサムウェア「TeslaCrypt」の背後にいるサイバー犯罪者が突然マスターキーを公開した、というニュースのように(英語記事)。このマスターキーを使えば、どのバージョンのTeslaCryptに暗号化されたファイルでも復号することができます。
どういうわけかサイバー犯罪者たちは、ランサムウェアの中でも特に悪質とされていたTeslaCryptの配布停止を決めたようです。このランサムウェアの一部バージョンでは暗号化したファイルの拡張子を「vvv」に変えたため、日本では「vvvウイルス」とも呼ばれていました。現在、TeslaCryptをばら撒いていた活動は、CryptXXXのばら撒きにシフトしています(Kaspersky Labは救済ツールを開発済み)。
ESETのセキュリティリサーチャーがこの変化に気づき、TeslaCryptのTORサポートサイトを介してサイバー犯罪者に連絡をとり、マスターキーの公開を要求しました。すると、相手は同意したのです。現在は閉鎖されているサポートサイトにマスターキーが公開され、「プロジェクト終了」「ごめんなさい」と書かれていました。
しかし、一般的なコンピューター利用者にとって、このキーだけではどうにもなりません。プログラムが必要です。そこで、BleepingComputerのユーザーであり、以前TeslaCryptの復号ツールを作ろうとしたことのあるBloodDolly氏が、マスターキーを使ってTeslaDecoderをアップデートしました。
復号ツールTeslaDecoderの使い方は、そんなに難しくありません。マスターキーを入力し、TeslaCryptによって暗号化されてしまった後のファイル拡張子を選択し、暗号化されたファイルが入っているフォルダーを選択(または、復号ツールでハードディスクを全スキャン)します(詳細はBleepingComputerの記事を参照のこと)。
BloodDolly氏のTeslaDecoderは、BleepingComputerからダウンロードすることができます(リンクをクリックすると、すぐにダウンロードが始まります)。
TeslaCryptが姿を消したのは、非常に喜ばしいニュースです。それというのも、このランサムウェアが2015年2月に登場して以来、暗号化の手法が常に進化し続けていたからです。当ブログ(Kaspersky Daily)では、TeslaCryptの3つのバージョンについて取り上げました(その1、2、3)。リサーチャーたちは最初のバージョン向けの救済方法を見つけ出しましたが、第2、第3のバージョンではそうもいきませんでした。しかし、今回のマスターキーの公開によって、ついにそれが可能になりました。
「Invoice」がどうだとかいう謎の英語メールを受け取っている方にお読みいただきたい記事。ランサムウェアTeslaCrypt 2.2.0が世界のあちこちでメールでばらまかれています。https://t.co/LZl125S9dN pic.twitter.com/teFz0QjyTN
— カスペルスキー 公式 (@kaspersky_japan) December 18, 2015
犯罪者自身が人々に実害を加えたことに気づき、行いを改めるのは、めったにないことです。しかし、今回はランサムウェア作成者が自らの悪事を止め、人々に与えたダメージを回復させようとしています。どうか、これが最後のケースでありませんように。数多くのランサムウェアが存在していますが、今後、自らの行いが害をもたらしていることに気づくサイバー犯罪者がもう1人現れる可能性は、わずかながらあります。わずかな可能性とはいえ、チリも積もれば山となります。私たちの願いは根拠のないものではありません。