ランサムウェアとは?

知らないとヤバイ!PCとスマホの情報セキュリティーの話

人質を取るウイルス?

 ランサムウェアとはマルウェアというパソコンに悪影響をもたらすものなのですが、このランサムウェアにはとても特殊な性質があるということと、これまで海外で被害を増やしてきたもののついに日本にも上陸してしまった為注意喚起が行われています。そもそもランサムとは人質という意味で、このソフトウェアは、なんと人質をとって金品を要求するウイルスになっているのです。

 ウイルスに感染すると特定のファイルが暗号化されたり、画面が固定され操作ができなくなるといった状況に陥り、その制限を解除するためのお金の支払先が表示されるというもので、当初ロシアなどを舞台に流行していたものの、アメリカや、中国など様々な国を巡り、とうとう日本人向けに作られたものなども登場してきてしまったのです。

 これは登場からたったの四半期で倍に増えるという、現在25万個以上ものランサムウェアのサンプルが収集されているという事実からわかるように、もはや、私達の身近なところにも現れるかもしれない脅威として存在しているのです。

基本的な動き

 このランサムウェアですが、基本的にはダウンロードされたファイルやネットサービスの脆弱性、またJavaやFlash、PDFといったものの脆弱性をついて侵入し、旧来のワームのようなトロイの木馬として増殖していきます。特にWindowsUpdateやJava、Flash、PDFなどといったウェブで利用するプラグイン的なソフトウェアのアップデートを怠っているとそこを基点として侵入してしまうことがあります。その後、ランサムウェアはハードディスクドライブの個人的なファイルを暗号化し始め、高度なものになるとランダムな共通鍵と固定の公開鍵によるハイブリット暗号で、被害者のファイルを暗号化するため、誰もそのファイルを元に戻すことはできなくなってしまいます。勿論、秘密鍵さえわかれば、復元は可能ですが、マルウェアの作者しか、その秘密の復号鍵を知らないため、「振り込まないと治せないぞ」と脅迫できるという仕組みが成り立つわけです。しかし、物によっては支払ったところで治せなかったり、また治すためのあれこれで足がつくのを嫌って、お金だけ受け取ってドロンということが殆どだといいます。

 また酷いものだとマスターブートレコードにはたらきかけて、これらの振込が終わるまでは一切別の作業が出来ないという画面ロック式のものもあったりして、その凶悪さは次第にエスカレートしていっています。ちなみに、場合によってはシステムが違法な活躍に使用されていた、またはシステムからポルノグラフィまたは海賊版ソフトウェアやメディアのような違法なコンテンツが見つかった、と嘘の主張をして、バラされたくなければ、そして元に戻して欲しければと脅迫するタイプのものもあります。

種類

暗号化ランサムウェア

 初めて存在が知られたランサムウェアは、1989年、ジョセフ・ポップによって作られた「AIDS」というトロイの木馬(「PCCyborg」という名称でも知られている)です。そのペイロードは、ソフトウェアの特定部分を使用するライセンスの有効期限が切れていると主張し、ハードディスクドライブのファイル名を暗号化し、システムを解除するには「PCCyborgCorporation」へ189米ドルを支払う必要があるとユーザーに主張するというものした。ポップは自身の行為の裁判で精神異常であると宣告されたが、彼はマルウェアで上げた利益をエイズの研究資金に使うと約束しました。このような攻撃に公開鍵暗号を用いる概念は、1996年にアダム・L・ヤングとMotiYungによって紹介されました。

 猛威を振るったランサムウェアの例は2005年5月に顕著になった。2006年中ごろには、Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip、MayArchive等のプログラムが、より巧妙なRSA暗号と増え続ける鍵の長さを活用し始めた。2006年6月に検出されたGpcode.AGは、660ビットのRSA公開鍵で暗号化を行った。2008年6月には、Gpcode.AKとして知られる変種が検出されました。1024ビットのRSA鍵を用い、それは分散コンピューティングの力を借りなければ、計算時間の面から見て打破し得ないほど長い鍵だと考えられています。 2014年にはNASを標的としたランサムウェア「SynoLocker」が確認され、Synology製NASのOS「SynologyDSM」が古いバージョンのまま更改されていないものに攻撃が広がっているとしてエフセキュア社が注意喚起しています。

非暗号化ランサムウェア

 2010年8月、ロシア当局はWinLockとして知られるランサムウェアワームに接続した10名を逮捕しました。先述したGpcodeとは違い、WinLockは暗号化を行いません。その代わり、単にポルノ画像を表示してシステムへのアクセスを制限します。それから制限を解除するコードを受け取るため、ユーザーに有料SMS(およそ10米ドル)を送るかどうか尋ねる。この詐欺はロシアと周辺諸国に多数発生しました。犯行グループは1600万米ドルを稼いだと報じられています。

 2011年には、ユーザーに対し、「詐欺の被害者」となったため、ウィンドウズを再アクティベーションする必要があると通知する、マイクロソフトライセンス認証を模倣するランサムウェアワームが発生しました。このプログラムはオンラインでのアクティベーションを提示するがそれは不可能ですので、ユーザーに数字6文字のコードを入力するため、6種類提示される国際電話番号のうち1種へ電話するよう要求します。このマルウェアは通話が無料であると主張しますが、国際電話料金が巨額な国の不法なオペレータを経由し、ユーザーに巨額の長距離電話料金を発生させることもありました。

著名な攻撃

Reveton

 2012年、Revetonの名で知られる有名なランサムウェアが拡散し始めた。Citadelトロイをベースとし(それ自身はZeusを基にしている)、それは警察を自称する者からの警告を表示し、海賊版ソフトや児童ポルノをダウンロードした等の違法行為にコンピュータが使われたと嘘の主張をするものでした。(まれに本当に違法行為をしていて出頭した例もありました)このプログラムの発する警告は、ユーザーにシステムを解除するにはUkashやPaysafecard等の匿名プリペイドキャッシュサービスによる金券を使い、罰金を払う必要があると通知するものであります。コンピュータが警察に探知されているという錯覚を強めるために、スクリーンにIPアドレスも表示され、同時にユーザーが十分に記録されているという錯覚を与えるためにコンピュータのWebカメラの映像を表示するものまでありました。

 Revetonは当初、2012年初期に多数のヨーロッパ諸国で拡散しました。変種はユーザーの居住国に基づいて、異なる警察組織のロゴをつけたテンプレートでローカライズされていました。例示すると、イギリスで使われた変種はロンドン警視庁、著作権管理団体のPRSforMusic(特に違法な音楽をダウンロードしたとユーザーを告発した)、PoliceNationalE-CrimeUnitのような組織の標記を用い、このマルウェアに関して一般人に注意を促す声明において、ロンドン警視庁は調査の一環として、このような方法でコンピュータをロックしないことを明確にしました。当局は、誰かが児童ポルノをダウンロードまたはアップロードしているという容疑がある時、逃げるか証拠を処分する時間を与えるような警告を容疑者に与える事はありません。

CryptoLocker

 2013年、暗号化ランサムウェアは「CryptoLocker」として知られるワームと同じく再出現しました。CryptoLockerは悪意あるEメールの添付ファイルか、ドライブバイダウンロードによって配布されます。最初はC&Cサーバに接続を試み、その後2048ビットのRSA公開鍵と秘密鍵のペアを生成し、その鍵をサーバにアップロードします。その時このマルウェアは、ユーザーが2048ビットのRSA鍵でアクセスできる全部のローカルまたはネットワークストレージドライブにあるデータを暗号化しようとし、標的となるファイルをホワイトリストまたは拡張子で検出します。公開鍵がコンピュータに保存されたとき、秘密鍵はC&Cサーバに保存されます。CryptoLockerは、ユーザーが鍵を取り戻してファイルを復号するには、MoneyPakカードかビットコインを使って支払いをするよう要求し、3日以内に支払いがなければ秘密鍵を削除すると脅す。極めて大きなサイズの鍵が使われているために、アナリストはCryptoLockerに侵されたコンピュータを修復する事はきわめて難易度が高いと考えています。

基本的な対策

 これのランサムウェアは基本的にドライブバイダウンロード方式で感染する事が多いです。このドライブバイダウンロード方式とはiframeタグといった物で改ざんされたサイトや不正サイトにアクセスした場合に、プログラムに関して脆弱性があると感染してしまうという物で、ほとんどの感染経路はブラウザ自体の脆弱性、JavaやFlash、PDFやプラグインなどといったサードパーティ製のソフトを全く更新していなかったからということがほとんどですので、Windowsのアップデートなどと一緒にこれらのWEBに関わるサードパーティ製のソフトも念入りに更新しておくと良いかと思います。