ゲームファイルを狙う新たなランサムウェアTeslaCrypt

2015年3月25日

およそ40種類のオンラインゲームのゲーマーを狙った新種のランサムウェアが確認されました。比較的若い世代のコンピューター利用者を標的としていることは明らかです。

Gamer

ランサムウェアはマルウェアの一種で、感染したマシンのユーザーファイルを狙って暗号化します。このマルウェアを操る犯罪者は、ファイルを確実に暗号化した後、ファイルを復号する秘密鍵と引き替えに金銭の支払いを要求します。所定の期間が過ぎると、復号鍵は破棄されてしまいます。

今回のマルウェアを最初に報告したのは、テクニカルサポートとユーザー教育のフォーラムを運営するBleeping Computerです。同サイトは早くも、暗号化プログラムやランサムウェアの手口について信頼できる情報を提供するフォーラム、という評価を得ています。Bleeping ComputerはこのマルウェアをTelsaCryptと名付けましたが、その一方でセキュリティ企業のBromiumはこの脅威についてBleeping Computerとは別の独自のレポートを発表し、CryptoLockerの新たな亜種との見方を示しました。Bleeping Computerは、最初の発見者はEmsisoftのファビアン・ウォーサー(Fabian Wosar)氏としています。

Bleeping Computerによると、TeslaCryptはゲームやプラットフォームに関連するファイルを標的としますが(RPG Maker、League of Legends、Call of Duty、Dragon Age、StarCraft、MineCraft、World of Warcraft、World of Tanksなど、人気のあるオンラインゲーム)、これは以前の手口とは異なります。これまでは、ユーザーのマシンに保存された標準的なファイル(文書、画像、動画など)が主な標的だったのです。TeslaCryptではAES暗号化が使われているため、被害者がゲーム関連のファイルにアクセスするには復号鍵が必要です。ちなみにこの鍵の料金は、Bitcoinで支払う場合は500ドル、PayPal My Cashカードで支払う場合は1,000ドルです。
Bleeping Computerは先頭に立ってこのランサムウェアの調査を進めていましたが、Bromiumは拡散方法について新たな事実を突き止めました。予想どおり、この脅威はAngler Exploit Kitに組み込まれているようです。エクスプロイトキットとは、コンピューターシステムへの侵入を目的とした既製のソフトウェアパッケージです。よく知られたセキュリティの脆弱性を悪用するプログラムが多数詰め込まれており、ソフトウェア・アズ・ア・サービス(SaaS)業界と同じように、ライセンス料を支払えば利用できます。

エクスプロイトキットがあれば、標的のマシンにマルウェアをロードするのは簡単です。エクスプロイトキットの王座には長年にわたってBlackHoleが君臨していました。しかし、作成者が開発をやめ、その後ロシアで逮捕されると、人気は下火になっていきました。それから約1年半後、BlackHoleの空席を埋めるべくAnglerが登場し、最新のゼロデイや、ゼロデイの脆弱性を突く手法が次々に組み込まれています。

感染後、TeslaCryptはコンピューターの背景を変更し、ファイルを暗号化したことを通知します。このメッセージには、どこでどうやって秘密鍵を購入し、ファイルを復号すればいいのか、という指示も書かれています。中には、Tor Browser Bundleのダウンロードというプロセスも含まれています。おもしろいことに、支払い方法やファイルの復号方法について、感染したユーザーがマルウェア作成者からテクニカルサポートを受けられる秘密のサービスサイトまであります。警告文には期限も書かれており、それを過ぎると秘密鍵は破壊され、ファイルを復元できなくなります。

TeslaCryptなどのランサムウェアに対する最善の防御は、定期的にバックアップすること

この警告文は、悪名高いランサムウェアCryptoLockerのものとよく似ています。そのため、Bromiumはこの2種類のマルウェアに関連があると考えたのかもしれません。両マルウェアに技術的な共通点はほとんどないが、TeslaCryptはCryptoLockerのブランドを利用しているのだろう、と同社は指摘しています。

いつもお伝えしているように、Kaspersky Daily(当ブログ)は、復号鍵のために身代金を支払うことをお勧めしません。このような詐欺を助長するからです。TeslaCryptなどのランサムウェアに対する最善の防御は、定期的にバックアップすることです。もう1つ、強力なアンチウイルス製品を使うという手もあります。たとえば、カスペルスキー 2015 マルチプラットフォーム セキュリティには、暗号化マルウェアから保護するための「システムウォッチャー」という特別な機能が搭載されています。

もちろん、OS、ソフトウェア、アプリケーション、ブラウザーのアップデートのインストールも必要です。エクスプロイトキットは、パッチ未対応の既知のセキュリティ脆弱性を標的としていることが圧倒的に多いためです。

これまで何度もお伝えしてきたように、暗号化ランサムウェアは広くまん延する厄介な存在です。ですから、マシンのバックアップに時間をかけるようにしてください。さらに、テクニカルサポートやブランディングの展開から見て取れるように、こうした詐欺行為の背後にいる犯罪者は、ビジネスとマーケティングに目を向けています。つまり、ファイルを復元するために金を支払うよう、感染ユーザーを言い含める能力を高めているのです。この問題は、さまざまなモノがインターネットに接続されていく世界で現実となっており、悪化の一途を辿るでしょう。