Embed Size (px)
Citation preview
データが消える? 恐怖の「ゲーム」の手口とは - ランサムウ
ェアの最新動向を探る 第 2 回
1 「身代金」のビジネスモデルが確立
ランサムウェアの実態や最新の状況、対策などを全 4 回にわたり紹介していく本連載。第 1 回目で
は、ランサムウェア歴史や最新の脅威動向などを紹介した。
今回は、ランサムウェアをとりまく環境を解説するほか、「JIGSAW」という有名なランサムウェ
アの感染を、実例として紹介したい。この JIGSAW、非常に特徴的な脅迫活動を行うランサムウェ
アなのである。
【関連記事】巧妙化、凶悪化が進むランサムウェア - 最新の脅威動向を探る 第 1 回
ランサムウェアのビジネスモデルが確立
第 1 回目で紹介したとおり、ランサムウェアとは、PC やスマートフォンをなんらかの方法で使用不
能状態にし、元に戻すためには身代金を払え――と要求するマルウェアだ。
ランサムウェアを使い身代金を奪う手口は、すでにビジネスモデルが確立しているともいえる。そ
のいくつかを見ていきたい。まず、図 1-a、b がランサムウェアの販売サイトだ。
図 1-a ランサムウェア販売サイト その 1
図 1-b ランサムウェア販売サイト その 2
図 1-b では、PETYA や MISCHA の購入者を募っている。注目したいのは、画面下にある
PEYMENT SHARE。これは、購入者への支払率が定められていることを示している。このサイトで
は、実際に購入したランサムウェアで週にいくら稼ぐ(つまり、身代金をせしめた)かによって、購
入者への報酬が決定される。イチからランサムウェアを開発しなくても、ランサムウェアを購入す
ることで簡単に稼げますよ、利益は販売者と分けましょうというわけだ。
分配率は下記。より多くの被害者を出せば、より儲かる仕組みとなっている。まさに経済原則に従
ったシステムだ。
5 ビットコイン未満:25%
25 ビットコイン未満:50%
125 ビットコイン未満:75%
125 ビットコイン以上:85%
さらに、セキュリティ対策ソフトの検知を避けるための暗号化サービスを無償で提供する(FREE
CRYPTING SERVICE)など、購入者のための特典まで用意している。もはや顧客サービスといえる
だろう。
攻撃者による被害者用チャットサポートも
また、感染した被害者へのチャットサポートシステムを備えているランサムウェアもある。
図 2 JIGSAW のチャットサポート
トレンドマイクロ マーケティングコミュニケーション本部の森本純氏は、「業務に使用する PC が
JIGSAW に感染した、ニューヨーク在住の会社員」を装い、このチャットサポートを利用した例を
解説した。
その特徴が、下記となる(全文はトレンドマイクロのブログに掲載)。
どうしてこんなことをという質問には、「私はあなたのファイルを取り戻すサポートをしていま
す」と答える
支払額を値切ると「24 時間以内ならば、150 ドルを 125 ドルまで下げる」と返答、すぐさま身代
金を支払うよう重ねて要求する
森本氏によれば、実際にサポート要員を配置していることはまちがいないとのことだ。
販売所やチャットサポートが存在するということは、当然、コストもかかる。それでもなお存在す
るということは、運営していくだけの身代金による利益があがっていることを示すもの。逆な言い
方をすれば、それだけ被害も発生しているということだ。
身代金を払うべきか、否か
トレンドマイクロ マーケティングコ
ミュニケーション本部の森本純氏
また、森本氏は、身代金を支払ったことがないので事実確認はしていないという前提付きだが「身
代金を支払ったユーザーに、復号キーや復号ツールが提供されたという伝聞もある」と話した。
これは、どういう意味か? これもまさにビジネス化の表れといえるだろう。つまり、身代金を払っ
ても絶対に暗号化したファイルは戻らないという風評が一般化すれば、誰も身代金を支払わなくな
ってしまう。それでは攻撃者にとっては都合が悪い。
そこで、一部に対し復号ツールを提供することで「身代金を支払えば、元に戻る」と思い込ませ、
収入を得ようとしていると思われる。しかし、森本氏は、どんな場合でも犯罪者にお金を払うべき
ではないと主張する。
また、森本氏によれば、一部のファイルのみ無料で復元させるといった記述があるランサムウェア
も確認されたとのことだ。これも、一部ではあるが、復元できたことにより、本当に身代金を払え
ば元に戻せるのではと錯覚させている。こちらも、トレンドマイクロでは、実際に復元できたかは
確認できていないとのこと。
データが消える? 恐怖の「ゲーム」の手口とは - ランサムウ
ェアの最新動向を探る 第 2 回
2 1 時間ごとにデータ削除、ゲームを仕掛ける JIGSAW
データが消える? 恐怖の「ゲーム」の手口とは - ランサムウ
ェアの最新動向を探る 第 2 回
2 1 時間ごとにデータ削除、ゲームを仕掛ける JIGSAW
c-bou
[2016/11/13]
さて、実際に暗号化型ランサムウェアに感染するとどうなるのか。今回、ランサムウェア
「JIGSAW」感染状態のキャプチャ画面と動画を入手したので、感染の流れを紹介したい。まず、
ドキュメントフォルダに、Office データ、画像・動画データを配置する。
図 3 感染前のドキュメントフォルダ
ここで、JIGSAW を起動する。脅迫画面がでるまでに、数分くらいかかる。これは、ファイル数な
どにも依存するようだ。いずれにしても、JIGSAW は、拡張子から暗号化を進めていく。そして、
暗号化が完成すると、図 4 のようになる。
図 4 暗号化されたファイル
拡張子が「.fun」となっている。ここまでは背後で活動し、なんら目立った挙動は示さない。しか
し、暗号化が完了すると、JIGSAW の興味深い挙動が現れる。
図 5 脅迫画面がスタート
規定の暗号化が達成されると、脅迫画面が表示される。描かれたキャラクターは、ホラー映画「ソ
ウ」に登場する殺人鬼"ジグソウ"が使う腹話術人形だ(このため、このランサムウェアが JIGSAW と
呼ばれる)。
図 6 脅迫画面、その 2
図 6 は、脅迫画面の途中である。この時点では、写真、動画、書類などのファイルは暗号化されて
いないという。24 時間以内に 150 ドルを支払えば、復号化のキーを提供するとある。72 時間後に
は、すべてのファイルを暗号化すると脅迫する。そして、最終画面は、図 7 のようになる。
図 7 脅迫画面、その 3
最後に、タイマーが表示される。とにかく、急いで身代金を払わせるように仕向けている。もし、
途中で再起動を行うと、一気に暗号化が行われる。
前回、紹介したような暗号化型ランサムウェアと比較すると、格段に演出効果が高い。たとえば、
これを夜中に一人で体験したらどうなるか、想像してみていただきたい。かなり、衝撃的だろう。
筆者もこの流れを見た印象は、正直「ここまでやるのか」という感じであった。
暗号化されたファイルはどうなっている?
では暗号化されたファイルはどうなるのか。JIGSAW ではないが、ランサムウェアで実際に暗号化
されたファイルを、メモ帳で開いてみた。バイナリファイルを見慣れていない方は、中身がほぼ
「わからないものになっている」と見ていただければ十分だ。
図 8 暗号化されたファイルをメモ帳で開く
ちなみに、通常の Excel のファイルを、無理やりメモ帳で開いたものが、図 9 になる。
図 9 Excel ファイルをメモ帳で表示
かろうじてだが、意味のある文字列らしきものが確認できる。これが、暗号化されているか、いな
いかの差だ。この 2 つを見れば、その違いがわかるだろう。
たとえば、オンライン取引などでは、通信内容を暗号化することがよく行われる。途中の通信内容
をのぞき見しても、その内容をわからなくすることが目的だ。
暗号化されたファイルは、その内容をうかがい知ることができなくなっている。このように、ラン
サムウェアは、完璧にファイルを暗号化しており、普通の方法では、復元することは難しいことを
改めて理解してほしい。
※本記事は掲載時点の情報であり、最新の情報とは異なる場合がありますのでご注意ください。
