2016年5月20日

さらば、TeslaCrypt:最終ラウンド

ニュース 脅威

確率論によると、妙な出来事が時折、起こるべくして起こるものだそうです。特別におかしなことが起こる可能性は小さいながらもありますし、私たちが「これは、変」と思うような出来事や事件は無数にあります。そして時には、こうした妙な出来事が朗報であることもあります。たとえば、ランサムウェア「TeslaCrypt」の背後にいるサイバー犯罪者が突然マスターキーを公開した、というニュースのように(英語記事)。このマスターキーを使えば、どのバージョンのTeslaCryptに暗号化されたファイルでも復号することができます。

teslacrypt-master-key-featured

どういうわけかサイバー犯罪者たちは、ランサムウェアの中でも特に悪質とされていたTeslaCryptの配布停止を決めたようです。このランサムウェアの一部バージョンでは暗号化したファイルの拡張子を「vvv」に変えたため、日本では「vvvウイルス」とも呼ばれていました。現在、TeslaCryptをばら撒いていた活動は、CryptXXXのばら撒きにシフトしています(Kaspersky Labは救済ツールを開発済み)。

ESETのセキュリティリサーチャーがこの変化に気づき、TeslaCryptTORサポートサイトを介してサイバー犯罪者に連絡をとり、マスターキーの公開を要求しました。すると、相手は同意したのです。現在は閉鎖されているサポートサイトにマスターキーが公開され、「プロジェクト終了」「ごめんなさい」と書かれていました。

teslacrypt-closed

しかし、一般的なコンピューター利用者にとって、このキーだけではどうにもなりません。プログラムが必要です。そこで、BleepingComputerのユーザーであり、以前TeslaCryptの復号ツールを作ろうとしたことのあるBloodDolly氏が、マスターキーを使ってTeslaDecoderをアップデートしました。

復号ツールTeslaDecoderの使い方は、そんなに難しくありません。マスターキーを入力し、TeslaCryptによって暗号化されてしまった後のファイル拡張子を選択し、暗号化されたファイルが入っているフォルダーを選択(または、復号ツールでハードディスクを全スキャン)します(詳細はBleepingComputerの記事を参照のこと)。

BloodDolly氏のTeslaDecoderは、BleepingComputerからダウンロードすることができます(リンクをクリックすると、すぐにダウンロードが始まります)。

TeslaCryptが姿を消したのは、非常に喜ばしいニュースです。それというのも、このランサムウェアが20152月に登場して以来、暗号化の手法が常に進化し続けていたからです。当ブログ(Kaspersky Daily)では、TeslaCrypt3つのバージョンについて取り上げました(その123)。リサーチャーたちは最初のバージョン向けの救済方法を見つけ出しましたが、第2、第3のバージョンではそうもいきませんでした。しかし、今回のマスターキーの公開によって、ついにそれが可能になりました。

犯罪者自身が人々に実害を加えたことに気づき、行いを改めるのは、めったにないことです。しかし、今回はランサムウェア作成者が自らの悪事を止め、人々に与えたダメージを回復させようとしています。どうか、これが最後のケースでありませんように。数多くのランサムウェアが存在していますが、今後、自らの行いが害をもたらしていることに気づくサイバー犯罪者がもう1人現れる可能性は、わずかながらあります。わずかな可能性とはいえ、チリも積もれば山となります。私たちの願いは根拠のないものではありません。