ランサムウェア

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索
情報セキュリティ > マルウェア > ランサムウェア

ランサムウェア英語: Ransomware)とは、マルウェアの一種である。これに感染したコンピュータは、利用者のシステムへのアクセスを制限する。この制限を解除するため、被害者がマルウェアの作者に身代金(ransom、ランサム)を支払うよう要求する。数種類のランサムウェアは、システムのハードディスクドライブを暗号化し(暗号化ウイルス恐喝)、他の幾種類かは単純にシステムを使用不能にして、利用者が身代金を支払うように促すメッセージを表示する(スケアウェア)。

こうしたプログラムは、当初ロシアで有名だったが、ランサムウェアによる被害は世界的に増大してきた[1][2][3]。2013年6月、セキュリティソフトウェア企業のマカフィーは、2013年の第1四半期において25万個以上におよぶランサムウェアのサンプルを収集したと発表した。この数は、2012年第1四半期で得られた数の2倍以上である[4]。サイバー犯罪は金になる市場だということが周知されるにつれて、ランサムウェアのビジネスへの移行が激化し、法秩序に一層大きな課題を提示している[5]

動作[編集]

ランサムウェアは、典型的にはトロイの木馬として増殖する。例えば、ダウンロードされたファイルか、ネットワークサービスの脆弱性を突いてシステムに入りこむ。

その後、プログラムはペイロード(本体プログラム)を実行しようとする。一例としては、ハードディスクドライブの個人的なファイルを暗号化し始める[6][7][8]

より巧妙なランサムウェアは、ランダムな共通鍵と固定の公開鍵によるハイブリッド暗号で被害者のファイルを暗号化するものがある。そのマルウェアの作者は、秘密の復号鍵を知っている唯一の人物である。

いくつかのランサムウェアのペイロードは、暗号化を行わない。その場合、ペイロードは単純にシステムの相互作用を制限するアプリケーションとなっている。典型的にはウィンドウズシェルの設定によるものや[9]マスターブートレコードパーティションテーブル(修復されるまでOSの起動を妨害する。)を変更するものがある[10]

ランサムウェアは、システムの利用者から金銭を奪い取るためにスケアウェアの要素を利用する。そのペイロードは、企業や警察を称する者から発せられた通知を表示する。通知内容は、システムが違法な活動に使用されていたとか、システムからポルノグラフィまたは海賊版ソフトウェアやメディアのような違法なコンテンツが見つかったとかいうような、虚偽の主張をするものである[11][12]

いくつかのランサムウェアのペイロードには、Windows XPマイクロソフトライセンス認証の通知を模倣して、コンピュータのWindowsが偽造された、または再アクティベーションが必要である、と虚偽の主張をするものがある[13]。これらは、ランサムウェアを除去するために、ファイルを復号するプログラムを供給するか、ペイロードが行った変更を元に戻す解除コードを送るよう利用者に要求する。

この過程で、利用者はマルウェアの作者に金銭を払うように促される。支払い方法には、しばしば、銀行振込ビットコイン、有料テキストメッセージ[14]、またはUkashPaysafecardのようなオンライン決済金券サービスが用いられる[1][15][16]

経緯[編集]

暗号化ランサムウェア[編集]

初めて存在が知られたランサムウェアは、1989年にジョセフ・ポップによって作られた「AIDS Trojan」というトロイの木馬(「PC Cyborg」という名称でも知られている)である。

そのペイロードは、ソフトウェアの特定部分を使用するライセンスの有効期限が切れていると主張し、ハードディスクドライブのファイル名を暗号化し、制限を解除するには「PC Cyborg Corporation」に189米ドルを支払う必要があると利用者に主張する。ポップは自身の行為の裁判で精神異常であると宣告されたが、彼はマルウェアで上げた利益をエイズの研究資金に使うと約束した[17]。このような攻撃に公開鍵暗号を用いる概念は、1996年にアダム・L・ヤングとモチ・ユング英語版によって紹介された。

AIDS Trojanは共通鍵暗号だけを使用していてプログラムから鍵が取り出せたために効果的ではなかったので、RSA暗号TEA暗号を使ったMacintosh SE/30向けの概念証明型ウイルスが作成された。ヤングとユングは、この顕在的な攻撃を「暗号化ウイルス恐喝 (cryptoviral extortion)」と呼んだ。また、これは「暗号ウイルス学英語版」と呼ばれる分野における、顕在的と潜在的な攻撃の両方を含むクラスの攻撃のひとつであると言及した[6]

猛威を振るったランサムウェアの例は、2005年5月に顕著になった[18]。 2006年中頃には、Gpcode、TROJ.RANSOM.A、ArchiveusKrotten、Cryzip、MayArchiveなどのプログラムが、より巧妙なRSA暗号を活用し、鍵の長さを増やし続けた。2006年6月に検出されたGpcode.AGは、660ビットのRSA公開鍵で暗号化を行った[19]

2008年6月には、Gpcode.AKとして知られる変種が検出された。1,024ビットのRSA鍵を用い、それは分散コンピューティングの力を借りなければ、計算時間の面から見て打破し得ないほど長い鍵だと考えられている[20][21][22][23]

2014年にはNASを標的としたランサムウェア「SynoLocker」が確認され、古い版のまま更新されていないSynology製NASのOS「Synology DSM」に攻撃が広がっているとして、エフセキュア社が注意を喚起している[24]

また、日本では0Chiakiという人物が開発したとされるTorLockerの亜種KRSWLocker(通称カランサムウェア)が発見され「新経済サミット2015」において紹介された[25][26]

非暗号化ランサムウェア[編集]

2010年8月に、ロシア当局はWinLockとして知られるランサムウェアワームに接続した10名を逮捕した。前述したGpcodeとは異なり、WinLockは暗号化を行わない。その代わり、単にポルノ画像を表示してシステムへのアクセスを制限する。それから制限を解除するコードを受け取るため、利用者に有料SMS(およそ10米ドル)を送るかどうか尋ねる。この詐欺は、ロシアと周辺諸国に多数発生した。犯行グループは、1600万米ドルを稼いだと報じられている[12][27]

2011年には、利用者に「詐欺の被害者」となったので、Windowsを再活性化する必要があると通知する、マイクロソフトライセンス認証を模倣するランサムウェアワームが発生した。このプログラムはオンラインでの活性化を提示するがそれは不可能であり、利用者に数字6桁のコードを知るため、6種類提示される国際電話番号のうち、1種へ電話するよう要求する。このマルウェアは通話が無料であると主張するが、国際電話料金が高額な国の不正なオペレータを経由し、巨額の長距離電話料金を発生させる[13]

2013年2月には、Stamp.EKエクスプロイトキットに基づいたランサムウェアワームが発生した。このマルウェアはプロジェクトホスティングサービスのSourceForgeGitHubを通じて配布され、有名人の「偽のヌード写真」を提供すると主張する[28]。2013年7月には、OS Xに特化したランサムウェアワームが発生した。これは、利用者がポルノグラフィをダウンロードしたと告発するウェブページを表示する。ウィンドウズベースの類似品と違い、コンピュータの動作全体は阻害しないが、単に普通の方法でページを閉じるのを諦めさせるため、ウェブブラウザの動作を利用する[29]

2013年7月には、バージニア州出身の21歳の男性がランサムウェアを受け取った後に警察へ出頭した。彼は児童ポルノを所持していると告発する、偽のFBIからの警告を受けていた。捜査の後に、本当に彼のコンピュータから未成年の女性の写真と、彼女たちと不適切なやりとりをしたことが発見され、彼は児童ポルノの所持と児童性的虐待の罪で告発された[30]

顕著な例[編集]

Reveton[編集]

2012年、Revetonの名で知られる有名なランサムウェアが拡散し始めた。Citadelトロイをベースとし(それ自身はZeusを基にしている)、そのペイロードは警察を自称した警告を表示し(このことから「警察トロイ」のニックネームが付いた)、海賊版ソフトや児童ポルノをダウンロードしたなどの違法行為にコンピュータが使われたと主張する[31]。このプログラムの発する警告は、利用者にシステムロックを解除するにはUkashPaysafecardなどの匿名プリペイドキャッシュサービスによる金券を使い、罰金を払う必要があると通知するものである。コンピュータが警察に探知されているという錯覚を強めるために、スクリーンにIPアドレスも表示し、利用者に記録されているという錯覚を与えるためにコンピュータのWebカメラの映像をいくつか表示する[1][32]

Revetonは当初、2012年初期に多数のヨーロッパ諸国で拡散した[1]。変種は利用者の居住国に基づいて、異なる警察組織のロゴをつけたテンプレートで地域化されていた。例えば、イギリスで使われた変種はロンドン警視庁著作権管理団体PRS for Music(特に違法な音楽をダウンロードしたと利用者を告発した)、Police National E-Crime Unitのような組織の標記を用いた[33]。ロンドン警視庁は、一般人にこのマルウェアに関して注意を促す声明を出し、調査の一環でコンピュータをロックすることはないことを明確にした[1][11]。当局は、児童ポルノをダウンロードまたはアップロードしているという容疑があるとき、その容疑者が逃げたり証拠を処分したりする時間を与えるような警告をすることはない。

2012年5月には、トレンドマイクロの研究者がアメリカカナダ向けの変種のテンプレートを発見した。それは、変種の作者が北米の利用者を標的とする計画のおそれについて示唆していた[34]。2012年8月には、新しいRevetonの変種がアメリカで拡散し始めた。これはGreen Dot Corporationカードを使って200米ドルの罰金を払う必要があると主張するものである[2][3][32]

CryptoLocker[編集]

2013年に、暗号化ランサムウェアは「CryptoLocker」として知られるワームと共に再出現した。 CryptoLockerは悪意あるEメールの添付ファイルか、ドライブバイダウンロードによって配布される。 最初はC&Cサーバに接続を試み、その後2,048ビットのRSA公開鍵と秘密鍵のペアを生成し、その鍵をサーバにアップロードする。 その時、このマルウェアは、利用者が2,048ビットのRSA鍵でアクセスできるすべてのローカルまたはネットワークストレージドライブにあるデータを暗号化しようとし、標的となるファイルをホワイトリストまたは拡張子で検出する。 公開鍵がコンピュータに保存されたとき、秘密鍵はC&Cサーバに保存される。 CryptoLockerは、利用者が鍵を取り戻してファイルを復号するには、MoneyPakカードかビットコインを使って支払いをするよう要求し、3日以内に支払いがなければ秘密鍵を削除すると脅す。 極めて大きなサイズの鍵が使われているために、アナリストはCryptoLockerに侵されたコンピュータを修復することはきわめて難しいと考えている[35][36][37][38]

2014年6月2日にアメリカ合衆国司法省によって正式に公表されたように、CryptoLockerは、Gameover ZeuSボットネットの差し押さえによって隔離された。

CryptoLocker.FとTorrentLocker[編集]

2014年9月、新種のランサムウェアがオーストラリアを襲った。 (「CryptoLocker」という名前を冠しているが、オリジナル版とは関係がない。) 「CryptoLocker.F」の命名は、シマンテックによるものである。 オーストラリア郵便公社からの宅配便の不在票を偽った電子メールによって広がった。 利用者に、あるWebサイトを閲覧させて、CAPTCHAコードを入力させる。 被害者には著名なところではオーストラリア放送協会が含まれていた[39]

この時期、別のトロイの木馬「TorrentLocker」は、同一の暗号鍵を全てのコンピュータに使っていたという設計上の欠陥のために対処できたが、後にこの欠陥は解消されてしまった[40]

Cryptowall[編集]

2014年に、Cryptowallの最初の版 (1.0) が出現した。 Windowsコンピュータを標的としている。 2014年9月、広告配信ネットワークを悪用するキャンペーンの一環で配られてしまった。 信頼できるソフトウェアを装うためにデジタル署名が付されている[41]。 Cryptowall 3.0は、電子メール添付ファイルの一部にJavaScriptで書かれたペイロードを利用しており、これはJPEG画像ファイルを装った実行ファイルをダウンロードする(ドライブバイダウンロード)。 検知を避けながらサーバと通信するために、explorer.exeとsvchost.exeの新しいインスタンスを生成する。 ファイルを暗号化する際に、ボリューム中のシャドウコピーを削除し、パスワードとビットコインのウォレットを盗むスパイウェアをインストールする。

2015年11月に登場したCryptowall 4.0においては、セキュリティソフトウェアに検出されにくくする機能が大幅に強化されたほか、ファイルの内容だけでなくファイル名まで暗号化するようになった[42] [43]

KeRanger[編集]

2016年3月に出現したKeRangerは、macOS オペレーティングシステム上の最初のマルウェアかつランサムウェアである[44]

これはMacユーザのファイルを暗号化し、次に、そのファイルを復号するためにビットコインを要求する。実行ファイルは、リッチテキストファイル(.rtf)に偽装した .dmg 中にある。このマルウェアは3日間休眠した後、ファイルを暗号化し始め、どのようにファイルを復号するかについて指示するテキスト文書を加える。

このマルウェアは、暗号化するために2048 bitのRSA公開鍵を使う。実際には、Linuxの「Linux.Encoder.1」のコピーである。

RSA4096[編集]

WannaCry[編集]

2017年5月13日に出現した WannaCry/Wcry(泣きたくなる)という、世界中で猛威をふるっている、新種のランサムウェア亜種である。このコンピュータウイルスに感染すると、自分のパーソナルコンピュータMicrosoft Windows)や、サーバに置いた大事なファイルが勝手に暗号化され、ユーザーがファイルを開けなくなる[45]

GoldenEye[編集]

2017年6月、ウクライナを中心に世界各地に拡大した[46]。ウクライナの国営電力会社やウクライナの首都キエフの国際空港に感染。チェルノブイリ原子力発電所の周辺でも、ウィンドウズ・システムを使う放射線センサーが作動しなくなったため、手動に切り替えた。

緩和策[編集]

他の形態のマルウェアと同様に、セキュリティソフトウェアがランサムウェアのペイロードを検知できない懸念がある。 特にペイロードが暗号化されている場合や新種のマルウェアの場合、検知が難しい[47]。 また、ネットワーク越しのストレージ(ネットワークドライブ)中のデータも暗号化されてしまう懸念がある。

例えランサムウェアに乗っ取られても、物理的に遮断されたストレージデバイス(例:取り外し可能な補助記憶装置)に、コンピュータデータのバックアップを保存して、乗っ取られたコンピュータを完全初期化することによって、少なくともバックアップ時点の状態には復元することができる。

関連項目[編集]

脚注[編集]

  1. ^ a b c d e Dunn, John E.. “Ransom Trojans spreading beyond Russian heartland”. TechWorld. 2012年3月10日閲覧。
  2. ^ a b New Internet scam: Ransomware...”. FBI (2012年8月9日). 2014年4月5日閲覧。
  3. ^ a b Citadel malware continues to deliver Reveton ransomware...”. Internet Crime Complaint Center (IC3) (2012年11月30日). 2014年4月5日閲覧。
  4. ^ Update: McAfee: Cyber criminals using Android malware and ransomware the most”. InfoWorld. 2013年9月16日閲覧。
  5. ^ Ford, Glenn. “Ransomware Challenges Posed by Cyber Criminals”. 2014年3月28日閲覧。
  6. ^ a b Young, A.; Moti Yung (1996). “Cryptovirology: extortion-based security threats and countermeasures”. Proceedings 1996 IEEE Symposium on Security and Privacy. pp. 129. doi:10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2.  編集
  7. ^ Adam Young (2005年). “Building a Cryptovirus Using Microsoft's Cryptographic API”. Information Security: 8th International Conference, ISC 2005 (Springer-Verlag): pp. 389?401 
  8. ^ Young, Adam (2006). “Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?”. International Journal of Information Security (Springer-Verlag) 5 (2): 67?76. 
  9. ^ Ransomware: Fake Federal German Police (BKA) notice”. SecureList (Kaspersky Lab). 2012年3月10日閲覧。
  10. ^ And Now, an MBR Ransomware”. SecureList (Kaspersky Lab). 2012年3月10日閲覧。
  11. ^ a b Police warn of extortion messages sent in their name”. Helsingin Sanomat. 2012年3月9日閲覧。
  12. ^ a b McMillian, Robert. “Alleged Ransomware Gang Investigated by Moscow Police”. PC World. 2012年3月10日閲覧。
  13. ^ a b Ransomware squeezes users with bogus Windows activation demand”. Computerworld. 2012年3月9日閲覧。
  14. ^ Danchev, Dancho (2009年4月22日). “New ransomware locks PCs, demands premium SMS for removal”. ZDNet. 2009年5月2日閲覧。
  15. ^ Ransomware plays pirated Windows card, demands $143”. Computerworld. 2012年3月9日閲覧。
  16. ^ Cheng, Jacqui (2007年7月18日). “New Trojans: give us $300, or the data gets it!”. Ars Technica. 2009年4月16日閲覧。
  17. ^ Kassner, Michael. “Ransomware: Extortion via the Internet”. TechRepublic. 2012年3月10日閲覧。
  18. ^ Schaibly, Susan (2005年9月26日). “Files for ransom”. Network World. 2009年4月17日閲覧。
  19. ^ Leyden, John (2006年7月24日). “Ransomware getting harder to break”. The Register. 2009年4月18日閲覧。
  20. ^ Naraine, Ryan (2008年6月6日). “Blackmail ransomware returns with 1024-bit encryption key”. ZDnet. 2009年5月3日閲覧。
  21. ^ Lemos, Robert (2008年6月13日). “Ransomware resisting crypto cracking efforts”. SecurityFocus. 2009年4月18日閲覧。
  22. ^ Krebs, Brian (2008年6月9日). “Ransomware Encrypts Victim Files With 1,024-Bit Key”. Washington Post. 2009年4月16日閲覧。
  23. ^ Kaspersky Lab reports a new and dangerous blackmailing virus”. Kaspersky Lab (2008年6月5日). 2008年6月11日閲覧。
  24. ^ NASを人質に身代金0.6BTCを要求、ランサムウェア「SynoLocker」の攻撃広がる 2014年8月13日17時33分(株式会社インプレス「INTERNET Watch」)
  25. ^ プライバシーを換金する無料サービス、政府が作るウイルス--オンライン「負の問題」 - CNET Japan
  26. ^ 日本語ランサムウェア「犯人」インタビュー : IT&メディア : 読売新聞(YOMIURI ONLINE)
  27. ^ Leyden, John. “Russian cops cuff 10 ransomware Trojan suspects”. The Register. 2012年3月10日閲覧。
  28. ^ Criminals push ransomware hosted on GitHub and SourceForge pages by spamming ‘fake nude pics’ of celebrities”. TheNextWeb. 2013年7月17日閲覧。
  29. ^ New OS X malware holds Macs for ransom, demands $300 fine to the FBI for ‘viewing or distributing’ porn”. TheNextWeb. 2013年7月17日閲覧。
  30. ^ Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges”. Ars Technica. 2013年7月31日閲覧。
  31. ^ Fake cop Trojan 'detects offensive materials' on PCs, demands money”. The Register. 2012年8月15日閲覧。
  32. ^ a b Reveton Malware Freezes PCs, Demands Payment”. InformationWeek. 2012年8月16日閲覧。
  33. ^ Dunn, John E.. “Police alert after ransom Trojan locks up 1,100 PCs”. TechWorld. 2012年8月16日閲覧。
  34. ^ Constantian, Lucian. “Police-themed Ransomware Starts Targeting US and Canadian Users”. PC World. 2012年5月11日閲覧。
  35. ^ Disk encrypting Cryptolocker malware demands $300 to decrypt your files”. Geek.com. 2013年9月12日閲覧。
  36. ^ CryptoLocker attacks that hold your computer to ransom”. The Guardian. 2013年10月23日閲覧。
  37. ^ You’re infected?if you want to see your data again, pay us $300 in Bitcoins”. Ars Technica. 2013年10月23日閲覧。
  38. ^ Destructive malware "CryptoLocker" on the loose - here's what to do”. Naked Security. Sophos. 2013年10月23日閲覧。
  39. ^ “Australia specifically targeted by Cryptolocker: Symantec”. ARNnet. (2014年10月3日). http://www.arnnet.com.au/article/556598/australia-specifically-targeted-by-cryptolocker-symantec/ 2016年1月4日閲覧。 
  40. ^ Encryption goof fixed in TorrentLocker file-locking malware”. 2016年1月4日閲覧。
  41. ^ Malvertising campaign delivers digitally signed CryptoWall ransomware”. 2016年1月3日閲覧。
  42. ^ Andra Zaharia (2015年11月5日). “Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect”. 2016年1月5日閲覧。
  43. ^ 鈴木 聖子 (2015年12月5日). “ランサムウェア「CryptoWall」に新手の亜種、2段階攻撃で拡散”. http://www.itmedia.co.jp/enterprise/articles/1512/04/news057.html 2016年1月5日閲覧。 
  44. ^ Claud Xiao and Jin Chen (2016年3月7日). “新しいmacOSランサムウェア「KERANGER」が BITTORRENTクライアントTRANSMISSIONインストーラーを侵害”. paloalto. 2016年3月14日閲覧。
  45. ^ “ランサムウエア「WannaCry」関連記事”. ITpro (日経BP). (2017年5月17日). http://itpro.nikkeibp.co.jp/atcl/column/17/040700124/051500002/ 2017年5月17日閲覧。 
  46. ^ 新種ランサムウェア「GoldenEye」が世界各地に感染拡大、SMB v1の脆弱性「MS17-010」を突いて感染 - Impress
  47. ^ “Yuma Sun weathers malware attack”. Yuma Sun. (2013年11月16日). http://www.yumasun.com/news/local/article_f38f14e8-4f50-11e3-8165-0019bb30f31a.html 2016年1月5日閲覧。 

発展資料[編集]

外部リンク[編集]