ランサムウェア

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

ランサムウェア英語: Ransomware)とはマルウェアの一種である。これに感染したコンピュータはシステムへのアクセスを制限される。この制限を解除するため、マルウェアの作者へ身代金の支払いが要求される。数種類の形態のランサムウェアは、システムのハードディスクドライブを暗号化し(暗号化ウイルス恐喝)、また他の幾種類かは単純にシステムを使用不能にし、ユーザーに対して身代金を支払うようにそそのかすメッセージを表示する。

こうしたプログラムは当初ロシアで有名だったが、ランサムウェアを用いた詐欺は国際的に成長してきた[1][2][3]。2013年6月、セキュリティソフトウェア企業のマカフィーはあるデータを公表した。これは2013年の第1四半期において25万個以上におよぶランサムウェアのサンプルを収集したものである。この数は、2012年第一四半期で得られた数の2倍以上である[4]。サイバー犯罪は金になる市場だということが周知されるにつれて、ランサムウェアのビジネスへの移行が激化し、法秩序に一層大きな課題を提示している[5]

動作[編集]

ランサムウェアは旧来のワームのようなトロイの木馬として典型的に増殖する。例えば、ダウンロードされたファイルか、ネットワークサービスの脆弱性を介してシステムに侵入する。その後、プログラムはペイロードを実行しようとする。一例としては、ハードディスクドライブの個人的なファイルを暗号化し始める[6][7][8]。より巧妙なランサムウェアはランダムな共通鍵と固定の公開鍵による複合型暗号で被害者のプレーンテキストを暗号化するかもしれない。そのマルウェアの作者は、秘密の復号鍵を知っている唯一の人物である。いくつかのランサムウェアのペイロードは暗号化を行わない。そのケースでは、ペイロードは単純にシステムの相互作用を制限するアプリケーションとなっている。典型的にはウィンドウズシェルの設定によるものや[9]マスターブートレコードパーティションテーブル(修復されるまでオペレーションシステムの起動を完全に妨害する。)を変更するものがある[10]

ランサムウェアは、システムのユーザーから金を奪い取るためにスケアウェアの要素を利用する。そのペイロードは、企業や警察を称する者から発せられた通知を表示する。通知内容はシステムが違法な活動に使用されていた、またはシステムからポルノグラフィまたは海賊版ソフトウェアやメディアのような違法なコンテンツが見つかった、と虚偽の主張をするものである[11][12]。いくつかのランサムウェアのペイロードは、Windows XPマイクロソフトライセンス認証の通知を模倣し、コンピュータのウィンドウズが偽造された、または再アクティベーションが必要である、と虚偽の主張をする[13]。これらの戦術は、ランサムウェアを除去するために、ファイルを復号化するプログラムを供給するか、ペイロードが行った変更を元に戻す解除コードを送るようユーザーに要求する。この過程でユーザーは、マルウェアの作者に金を払うようそそのかされる。これらの支払いには、よく銀行振込ビットコイン、有料テキストメッセージ[14]、もしくはUkashPaysafecardのようなオンライン決済金券サービスが用いられる[1][15][16]

歴史[編集]

暗号化ランサムウェア[編集]

初めて存在が知られたランサムウェアは、1989年、ジョセフ・ポップによって作られた「AIDS」というトロイの木馬(「PC Cyborg」という名称でも知られている)である。そのペイロードは、ソフトウェアの特定部分を使用するライセンスの有効期限が切れていると主張し、ハードディスクドライブのファイル名を暗号化し、システムを解除するには「PC Cyborg Corporation」へ189米ドルを支払う必要があるとユーザーに主張する。ポップは自身の行為の裁判で精神異常であると宣告されたが、彼はマルウェアで上げた利益をエイズの研究資金に使うと約束した[17]。このような攻撃に公開鍵暗号を用いる概念は、1996年にアダム・L・ヤングとMoti Yungによって紹介された。AIDSトロイは対称鍵暗号を使用していたために効果的でなかったことと、RSA暗号TEA暗号を使ったMacintosh SE/30向けの概念証明型ウイルスが公開されたことが信じられている。ヤングとユンはこの攻撃が「暗号化ウイルス恐喝」になり、顕在的な攻撃が、顕在的および潜在的な攻撃の両方を包含する、暗号化ウイルス学と呼ばれる分野における、より大きなクラスの攻撃のひとつであると言及した[6]

猛威を振るったランサムウェアの例は2005年5月に顕著になった[18]。2006年中ごろには、Gpcode、TROJ.RANSOM.A、ArchiveusKrotten、Cryzip、MayArchiveなどのプログラムが、より巧妙なRSA暗号と増え続ける鍵の長さを活用し始めた。2006年6月に検出されたGpcode.AGは、660ビットのRSA公開鍵で暗号化を行った[19]。2008年6月には、Gpcode.AKとして知られる変種が検出された。1024ビットのRSA鍵を用い、それは分散コンピューティングの力を借りなければ、計算時間の面から見て打破し得ないほど長い鍵だと考えられている[20][21][22][23]

2014年にはNASを標的としたランサムウェア「SynoLocker」が確認され、Synology製NASのOS「Synology DSM」が古いバージョンのまま更新されていないものに攻撃が広がっているとしてエフセキュア社が注意喚起している[24]

非暗号化ランサムウェア[編集]

2010年8月、ロシア当局はWinLockとして知られるランサムウェアワームに接続した10名を逮捕した。先述したGpcodeとは違い、WinLockは暗号化を行わない。その代わり、単にポルノ画像を表示してシステムへのアクセスを制限する。それから制限を解除するコードを受け取るため、ユーザーに有料SMS(およそ10米ドル)を送るかどうか尋ねる。この詐欺はロシアと周辺諸国に多数発生した。犯行グループは1600万米ドルを稼いだと報じられている[12][25]

2011年には、ユーザーに対し、「詐欺の被害者」となったため、ウィンドウズを再アクティベーションする必要があると通知する、マイクロソフトライセンス認証を模倣するランサムウェアワームが発生した。このプログラムはオンラインでのアクティベーションを提示するがそれは不可能であり、ユーザーに数字6文字のコードを入力するため、6種類提示される国際電話番号のうち1種へ電話するよう要求する。このマルウェアは通話が無料であると主張するが、国際電話料金が高額な国の不正なオペレータを経由し、ユーザーに巨額の長距離電話料金を発生させる[13]

2013年2月には、Stamp.EKエクスプロイトキットに基づいたランサムウェアワームが発生した。このマルウェアはプロジェクトホスティングサービスのSourceForgeGitHubを通じて配布され、有名人の「偽のヌード写真」を提供すると主張する[26]。2013年7月には、OS Xに特化したランサムウェアワームが発生した。これは、ユーザーがポルノグラフィをダウンロードしたと告発するウェブページを表示する。ウィンドウズベースの類似品と違い、コンピュータの動作全体を阻害しないが、単に普通の方法でページを閉じるのを諦めさせるため、ウェブブラウザの動作を利用する[27]

2013年7月には、バージニア州出身の21歳の男性がランサムウェアを受け取った後に警察へ出頭した。彼は児童ポルノを所持していると告発する、偽のFBIからの警告を受けていた。捜査の後に、本当に彼のコンピュータから未成年の女性の写真と、彼女たちと不適切なやりとりをしたことが発見され、彼は児童ポルノの所持と児童性的虐待の罪で告発された[28]

著名な攻撃[編集]

Reveton[編集]

2012年、Revetonの名で知られる有名なランサムウェアが拡散し始めた。Citadelトロイをベースとし(それ自身はZeusを基にしている)、そのペイロードは警察を自称する者からの警告を表示し(このことから「警察トロイ」のニックネームが付いた)、海賊版ソフトや児童ポルノをダウンロードしたなどの違法行為にコンピュータが使われたと主張する[29]。このプログラムの発する警告は、ユーザーにシステムを解除するにはUkashPaysafecardなどの匿名プリペイドキャッシュサービスによる金券を使い、罰金を払う必要があると通知するものである。コンピュータが警察に探知されているという錯覚を強めるために、スクリーンにIPアドレスも表示され、同時にユーザーが十分に記録されているという錯覚を与えるためにコンピュータのWebカメラの映像をいくつか表示する[1][30]

Revetonは当初、2012年初期に多数のヨーロッパ諸国で拡散した[1]。変種はユーザーの居住国に基づいて、異なる警察組織のロゴをつけたテンプレートでローカライズされていた。例えば、イギリスで使われた変種はロンドン警視庁著作権管理団体PRS for Music(特に違法な音楽をダウンロードしたとユーザーを告発した)、Police National E-Crime Unitのような組織の標記を用いた[31]。このマルウェアに関して一般人に注意を促す声明において、ロンドン警視庁は調査の一環として、このような方法でコンピュータをロックしないことを明確にした[1][11]。当局は、誰かが児童ポルノをダウンロードまたはアップロードしているという容疑がある時、逃げるか証拠を処分する時間を与えるような警告を容疑者に与えることはない。

2012年5月には、トレンドマイクロの研究者がアメリカカナダ向けの変種のテンプレートを発見した。それは、変種の作者が北米のユーザーを標的とする計画の恐れについて示唆していた[32]。2012年8月には、新しいRevetonの変種がアメリカで拡散し始めた。これはGreen Dot Corporationカードを使って200米ドルの罰金を払う必要があると主張するものである[2][3][30]

CryptoLocker[編集]

2013年、暗号化ランサムウェアは「CryptoLocker」として知られるワームとともに再出現した。CryptoLockerは悪意あるEメールの添付ファイルか、ドライブバイダウンロードによって配布される。最初はC&Cサーバに接続を試み、その後2048ビットのRSA公開鍵と秘密鍵のペアを生成し、その鍵をサーバにアップロードする。その時このマルウェアは、ユーザーが2048ビットのRSA鍵でアクセスできるすべてのローカルまたはネットワークストレージドライブにあるデータを暗号化しようとし、標的となるファイルをホワイトリストまたは拡張子で検出する。公開鍵がコンピュータに保存されたとき、秘密鍵はC&Cサーバに保存される。CryptoLockerは、ユーザーが鍵を取り戻してファイルを復号するには、MoneyPakカードかビットコインを使って支払いをするよう要求し、3日以内に支払いがなければ秘密鍵を削除すると脅す。極めて大きなサイズの鍵が使われているために、アナリストはCryptoLockerに侵されたコンピュータを修復することはきわめて難しいと考えている[33][34][35][36]

脚注[編集]

  1. ^ a b c d e Dunn, John E.. “Ransom Trojans spreading beyond Russian heartland”. TechWorld. 2012年3月10日閲覧。
  2. ^ a b New Internet scam: Ransomware...”. FBI (2012年8月9日). 2014年4月5日閲覧。
  3. ^ a b Citadel malware continues to deliver Reveton ransomware...”. Internet Crime Complaint Center (IC3) (2012年11月30日). 2014年4月5日閲覧。
  4. ^ Update: McAfee: Cyber criminals using Android malware and ransomware the most”. InfoWorld. 2013年9月16日閲覧。
  5. ^ Ford, Glenn. “Ransomware Challenges Posed by Cyber Criminals”. 2014年3月28日閲覧。
  6. ^ a b Young, A.; Moti Yung (1996). “Cryptovirology: extortion-based security threats and countermeasures”. Proceedings 1996 IEEE Symposium on Security and Privacy. pp. 129. doi:10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2.  編集
  7. ^ Adam Young (2005年). “Building a Cryptovirus Using Microsoft's Cryptographic API”. Information Security: 8th International Conference, ISC 2005 (Springer-Verlag): pp. 389?401 
  8. ^ Young, Adam (2006). “Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?”. International Journal of Information Security (Springer-Verlag) 5 (2): 67?76. 
  9. ^ Ransomware: Fake Federal German Police (BKA) notice”. SecureList (Kaspersky Lab). 2012年3月10日閲覧。
  10. ^ And Now, an MBR Ransomware”. SecureList (Kaspersky Lab). 2012年3月10日閲覧。
  11. ^ a b Police warn of extortion messages sent in their name”. Helsingin Sanomat. 2012年3月9日閲覧。
  12. ^ a b McMillian, Robert. “Alleged Ransomware Gang Investigated by Moscow Police”. PC World. 2012年3月10日閲覧。
  13. ^ a b Ransomware squeezes users with bogus Windows activation demand”. Computerworld. 2012年3月9日閲覧。
  14. ^ Danchev, Dancho (2009年4月22日). “New ransomware locks PCs, demands premium SMS for removal”. ZDNet. 2009年5月2日閲覧。
  15. ^ Ransomware plays pirated Windows card, demands $143”. Computerworld. 2012年3月9日閲覧。
  16. ^ Cheng, Jacqui (2007年7月18日). “New Trojans: give us $300, or the data gets it!”. Ars Technica. 2009年4月16日閲覧。
  17. ^ Kassner, Michael. “Ransomware: Extortion via the Internet”. TechRepublic. 2012年3月10日閲覧。
  18. ^ Schaibly, Susan (2005年9月26日). “Files for ransom”. Network World. 2009年4月17日閲覧。
  19. ^ Leyden, John (2006年7月24日). “Ransomware getting harder to break”. The Register. 2009年4月18日閲覧。
  20. ^ Naraine, Ryan (2008年6月6日). “Blackmail ransomware returns with 1024-bit encryption key”. ZDnet. 2009年5月3日閲覧。
  21. ^ Lemos, Robert (2008年6月13日). “Ransomware resisting crypto cracking efforts”. SecurityFocus. 2009年4月18日閲覧。
  22. ^ Krebs, Brian (2008年6月9日). “Ransomware Encrypts Victim Files With 1,024-Bit Key”. Washington Post. 2009年4月16日閲覧。
  23. ^ Kaspersky Lab reports a new and dangerous blackmailing virus”. Kaspersky Lab (2008年6月5日). 2008年6月11日閲覧。
  24. ^ NASを人質に身代金0.6BTCを要求、ランサムウェア「SynoLocker」の攻撃広がる 2014年8月13日17時33分(株式会社インプレス「INTERNET Watch」)
  25. ^ Leyden, John. “Russian cops cuff 10 ransomware Trojan suspects”. The Register. 2012年3月10日閲覧。
  26. ^ Criminals push ransomware hosted on GitHub and SourceForge pages by spamming ‘fake nude pics’ of celebrities”. TheNextWeb. 2013年7月17日閲覧。
  27. ^ New OS X malware holds Macs for ransom, demands $300 fine to the FBI for ‘viewing or distributing’ porn”. TheNextWeb. 2013年7月17日閲覧。
  28. ^ Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges”. Ars Technica. 2013年7月31日閲覧。
  29. ^ Fake cop Trojan 'detects offensive materials' on PCs, demands money”. The Register. 2012年8月15日閲覧。
  30. ^ a b Reveton Malware Freezes PCs, Demands Payment”. InformationWeek. 2012年8月16日閲覧。
  31. ^ Dunn, John E.. “Police alert after ransom Trojan locks up 1,100 PCs”. TechWorld. 2012年8月16日閲覧。
  32. ^ Constantian, Lucian. “Police-themed Ransomware Starts Targeting US and Canadian Users”. PC World. 2012年5月11日閲覧。
  33. ^ Disk encrypting Cryptolocker malware demands $300 to decrypt your files”. Geek.com. 2013年9月12日閲覧。
  34. ^ CryptoLocker attacks that hold your computer to ransom”. The Guardian. 2013年10月23日閲覧。
  35. ^ You’re infected?if you want to see your data again, pay us $300 in Bitcoins”. Ars Technica. 2013年10月23日閲覧。
  36. ^ Destructive malware "CryptoLocker" on the loose - here's what to do”. Naked Security. Sophos. 2013年10月23日閲覧。

関連項目[編集]

外部リンク[編集]