TeslaCrypt：第3ラウンド

マルウェアの開発と、それに対抗する私たちの戦いは、時として重厚なテレビドラマのようです。「登場人物」が新しい技を身に付け、数々の苦難を乗り越え、新たな成功を収める―そんなマルウェアドラマの1つ、TeslaCryptシリーズはどうやらシーズン3に突入したようです。

TeslaCryptが初めて話題になったのは、2015年2月でした。このトロイの木馬は、あるゲーマー集団のPCに侵入し、ファイルを暗号化してしまいました。そして、データを元通りにしてほしければ500ドル程度払え、と要求したのです。

このトロイの木馬「TeslaCrypt」は、「CryptoLocker」という別のランサムウェアを基に作成されたものでした。その当時TeslaCryptは比較的弱い暗号化アルゴリズムを採用しており、復号鍵は被害者のハードディスク上の独立したファイルに保存されていたため、簡単に見つけることができました。最終的にはBleepingComputerのフォーラム（英語）のユーザーがTeslaDecoder（ダウンロードリンク）というソフトウェアを作成したので、身代金を支払わなくてもファイルを復号できるようになりました。

シーズン1が大失敗に終わり、シリーズ自体が打ち切りになればよかったのですが、サイバー犯罪者は機能を拡張し、TeslaCrypt 2.0をリリースしました。Kaspersky Labでは、このアップグレード版を2015年7月に検知しています（英語記事）。このバージョンでは暗号化スキームが格段に強化されており、今でも暗号解除は不可能です。そのうえ、鍵の保存先が独立したファイルではなく、システムレジストリに変更されています。

ゲーム関連ファイルも狙うランサムウェア「TeslaCrypt」が、強力になって帰ってきました。ランサムウェア対策は事前に行うのがポイントです！https://t.co/DMIT9x2U7z pic.twitter.com/7ymX9MF365

— Kaspersky Labs Japan (@kaspersky_japan) July 21, 2015

何とかして復号鍵を見つけることができれば、TeslaDecoderを使ってファイルを取り戻すことができます。しかし、この便利なソフトウェアでも、鍵がなければ完全にお手上げです。

先日、新シーズンが幕を開けました。TeslaCrypt 2.2.0が登場したのです。現在、悪意あるファイルが添付されたメールによる作戦が猛威を振るい、世界中のユーザーに偽の支払い通知が送りつけられています。こうしたメールに騙されてエクスプロイトキット「Angler」をインストールしてしまうと、TeslaCryptの新バージョンがダウンロードされます。誰でも何千通に1通くらいは請求書を見落とすもので、こんなふうに催促メールが来ることはよくある話です。そのため、この偽メールにひっかかった企業ユーザーは多数に上っています。

見慣れない形式のファイル（winmail.dat）がメールに付いていて開けないとき、どうしたらいいでしょう？ちょっとした「困った」にお答えします。 http://t.co/nplr6Oa3Aq

— Kaspersky Labs Japan (@kaspersky_japan) May 27, 2014

さらに、サイバー犯罪者たちはWordPress Webサイトへの感染作戦も大規模展開しており、その標的には英国の新聞『The Independent』のブログも含まれていました（英語記事）。この事件は、またしてもAnglerの仕業です。このAnglerはTeslaCryptまたはBEDEPという別のトロイの木馬をダウンロードし、BEDEPはさらにCryptoLockerをダウンロードしていました。

Trend Microによると、『The Independent』のブログが感染したのは11月21日でした。社員が問題を解決し、先日12月9日に同紙のトップページは読者にリダイレクトされました。

『The Independent』の担当者が述べたところでは、感染したのは非常に古いページであっため、アクセスした読者はごく少数で、同社のサイトからトロイの木馬に誰かが感染した兆候は認められませんでした（英語記事）。とはいえ、感染ページに誘導された人の総数は1日あたり4,000人を超えていました。この人たちがAdobe Flashを最新バージョンに更新していなければ、AnglerはFlashの脆弱性を利用して、その人たちのシステムに感染できたはずです。

今回、サイバー犯罪者たちは、攻撃の矛先を個人ユーザーから企業ユーザーにシフトしました。Heimdal Securityによると、TeslaCrypt 2.2.0はヨーロッパ企業を恐怖に陥れています（英語記事）。また、日本でも大規模な活動の痕跡が確認されています。次はどの国が標的になるのか、予測は不可能です。

ランサムウェアから身を守りたい、少なくとも起こりうる被害を減らしたいのであれば、以下の対策をお勧めします。

ファイルを暗号化して人質とし、身代金を要求するランサムウェア。被害を受けないために一番重要なのは「事前対策」です。10のヒントをご紹介。(vvvの件についても少し触れます) https://t.co/EUPsqRsXxc pic.twitter.com/H4pUV94zsZ

— Kaspersky Labs Japan (@kaspersky_japan) December 7, 2015

1. 最新のセキュリティ製品を使用しましょう。たとえば、カスペルスキー インターネット セキュリティ（カスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム）に組み込まれているシステムウォッチャー機能を利用することで、データがランサムウェアによって暗号化されるのを防ぎ、TeslaCryptからPCを守ることができます。
2. ソフトウェアのアップデートプログラムは必ずインストールしましょう。オフィス用ソフトウェアスイート、ブラウザー、Adobe Flashでは、バグや脆弱性がしょっちゅう見つかっています。セキュリティホールを「治療する」アップデートプログラムやパッチも、定期的にリリースされています。最新のアップデートプログラムは、セキュリティを何倍も強固にしてくれます。
3. 定期的にデータのバックアップを取りましょう。防止策が功を奏さずシステムが感染してしまったとしても、アンチウイルス製品を利用してシステムをきれいな状態にできますし、バックアップからファイルを元に戻すこともできます。

ランサムウェアの被害に遭ってしまった場合ですが、残念ながら万能薬はありません。復号鍵がある場合なら、先ほど述べたTeslaDecoder（ダウンロードリンク）や、Cisco社提供の類似ツールを使うことができます。

一方、復号鍵がない場合、打つ手はほとんどありません。とはいえ、できれば、身代金を支払わないようにしてください。身代金を払わなければ、ランサムウェア業界は利益をあげることができないわけで、ランサムウェアの次シーズンを展開するモチベーションを挫くことになるでしょう。