2016年5月、「The Hall of Ransom(The Hall)」と呼ばれる「Dark Web(ダークWeb)」のサイトの存在がリサーチャにより明らかにされました。このサイトは、匿名通信システム「The Onion Router(Tor)」のネットワーク経由でアクセスし、ランサムウェア関連の製品およびサービスが高額で販売されています。

同サイトでは、悪名高い暗号化型ランサムウェア「Locky」も3千米ドル(約33万円。2016年7月1日現在)で販売されていました。「Locky」の亜種は、2016年2月に1日あたり PC90,000台への感染が推定されています。こうしたランサムウェア亜種の販売の他、同サイトでは「暗号化ランサムウェア向け復号鍵」も入手可能と宣伝されていました。例えば、コピー不可の「USB鍵」が1,200米ドル(約13万円)で販売され、感染PC に挿入するだけで「Locky」 に暗号化された Linux および Windows上のファイルを復号できると保証しています。「次世代のランサムウェア」と称した「Goliath」も2,100米ドル(約23万円)で販売されています。「Goliath」は、「Locky」のソースコードを再利用し、サイバー犯罪を始めたい初心者向けに提供されています。

「Locky」は増え続けるランサムウェアの亜種です。「Locky」を含めたこれらの亜種は、いまやアンダーグランド市場の売れ筋商品で、過去には「PETYA」、「MISCHA」、「CERBER」、「ORX-Locker」など、他のランサムウェアファミリ、も、「サービスとしてのランサムウェア(Ransomware as a service、RaaS)」として販売されていました。このサービスモデルでは、不正プログラム開発者は、ランサムウェアを拡散する利用者と提携し、「儲け(支払われた身代金)」に応じて利用者から報酬を受け取ります。ランサムウェアが「実入りの良いビジネスモデル」として成長している事実は、まさしく金銭窃取の手口として効果的であることを示しています。

「The Hall」は、その大胆で不自然な内容から、セキュリティリサーチャーと解析エンジニアの間では「閲覧者を騙す目的で作成された可能性」も指摘されています。しかし、このようなプラットフォームがアンダーグラウンドに実在している点から、双方とも「サイバー犯罪者がランサムウェアへ関心を示し、その度合が増していることは間違いない」と認めています。

■ランサムウェア成功の心理

ランサムウェアの不正活動自体は、以下の段階に分れます。

  • PCへの侵入経路を見つける
  • PC自体もしくはPC内の重要なファイルをロックする
  • ユーザに身代金の支払いを強要する

ただしここ数年、ランサムウェアは巧妙な脅威へ大きく進化しており、PC画面をロックしてユーザを脅迫するだけでなく、ユーザの弱点を熟知した悪質な不正プログラムに至っています。信頼につけ込むために相手を研究する詐欺師と同様、ランサムウェアも、ユーザの恐怖心につけ込み、脅しの手口を巧みに利用します。

トレンドマイクロは2015年末にリリースしたレポート「2016年セキュリティ脅威予測」の中で、2016年はネット恐喝の年になるとして次のように述べていました。「2016年、インターネット上の脅威は、その手口の技術的な側面が強化されるというよりも、その中で用いられるテクニックの一つである心理学の部分が巧妙になるでしょう。過去の事例からも、被害者の心理を利用する手法が効果的であることは証明されており、サイバー犯罪者は今後も主な手法に被害者の恐怖心を利用します。」

【参考: 2016年セキュリティ脅威予測

ランサムウェアは、初めて確認された頃、ユーザのPC画面をロックして脅迫するスケアウェアに分類されていました。初期ランサムウェアの亜種は、感染PCにアクセスできなくなるというユーザの恐怖心につけ込み、ソリューションに替わって身代金の支払いを強要する手法を用いていました。また、「REVETON」など、警察を装ったランサムウェアも確認されました。このランサムウェアは、警察や法執行機関を装い、連邦法に違反したとしてユーザの恐怖心を煽り、不正なリンクをクリックするよう誘導します。これらを経てランサムウェアの手法はさらに巧妙化し、「データを人質に取るランサムウェア」や「データを暗号化するランサムウェア」など、ユーザのデータに狙いを定めた亜種が登場してきました。

ランサムウェアは、機能や、拡散手法、身代金の要求方法などの点で絶えず進化し続け、特にユーザの恐怖心につけ込むことが成功の大きな要因です。ユーザの心理を把握し、ランサムウェア拡散に効果的に利用することが成功要因でした。

ランサムウェアを駆使するサイバー犯罪者は、効果的な侵入経路拡大にも労を惜しみません。ソーシャル・エンジニアリングは情報窃取に有効な手口ですが、ランサムウェアにより対象範囲はさらに拡大します。2016年5月、ハリウッドのゴシップ記事紹介サイト「Perezhilton.com」が不正広告の被害に見舞われました。同サイトは、ゴシップ記事紹介サイトから不正広告サイトに改ざんされ、数十万の閲覧者は、ランサムウェア「CryptXXX」がダウンロードされる別サイトへ誘導されました。

セキュリティリサーチャーNick Bilogorskiy氏は次のように述べています。「ユーザは、Iframeに改ざんされたWebサイトから、Angler Exploit Kit(Angler EK)が組み込まれた別サイトへ誘導されます。Angler EKは、ブラウザの脆弱性を利用した後、不正プログラム「BEDEP」を作成します。「BEDEP」はさらにランサムウェエア「CryptXXX」をダウンロードしてユーザのPCに感染させます。」

この事例は、脆弱性利用のエクスプロイトキットに依存する点では、拡散の手口も従来型ですが、人気のWebサイトを改ざんすることから、数千人の何も知らないユーザに被害が及ぶ可能性があります。

同じく2016年5月、電子商取引サイト「Amazon.com」の何百万人ものユーザが、ランサムウェア「Locky」がダウンロードされる可能性のあるフィッシング詐欺の脅威にさらされました。このフィッシング詐欺では、同電子商取引サイトを装ったスパムメールが使用され、メールアドレスは「Amazon.com」、件名には「Your Amazon.com Order Has Dispatched (#code) 訳:Amazonへの注文の商品が発送されました(コード番号)」が使用されました。これにより、何も知らないユーザは、簡単に不正プログラムが含まれた添付ファイルをダウンロードしてしまいます。

同月下旬には、上述のAmazonの事例と同じく、サイバー犯罪者が顧客の信頼につけ込む事例が確認されました。北欧大手の通信接続サービス会社「Telia」の社名が、ランサムウェア「TorrentLocker」を拡散するスパムメールキャンペーンで悪用されました。サイバー犯罪者は、Amazonの事例と同様、ソーシャル・エンジニアリングを駆使し、通信接続サービス会社からの正規の請求書を偽装しました。ユーザは、スパムメール内の不正リンクをクリックすると、キャプチャコードが表示された偽Webページに誘導され、コードを入力すると「TorrentLocker」がダウンロードされます。

■支払いの強要

ランサムウェアの場合、巧妙な侵入手法を考えだすことだけが成功を意味するわけではありません。サイバー犯罪者にとっては、ユーザが身代金を支払って初めてランサムウェアの感染は成功したと言えます。このため、ランサムウェア作成者は、身代金を支払うことがベストな選択だとユーザに思わせるさまざまな手法を工夫しています。

2016年4月には、ホラー映画「ソウ」を連想させる新種の暗号化型ランサムウェア「JIGSAW(ジグソウ)」が登場しました。興味深いことに、脅迫の手法は、実際に映画から発想を得ており、暗号化されたファイルを復号するための身代金支払い期限を示したタイマーが表示されます。ユーザが要求される身代金の最小金額は20米ドルから150米ドル(約2,200円から約16,400円)に設定されています。さらに切迫感を高めるため、期限以内に支払われない場合、1時間ごとにファイル削除されます。これも映画との類似点です。こうして72時間以内に支払われなかった場合、すべての暗号化されたファイルが削除されます。

こうした動作のほか、JIGSAWは、ユーザの心理を露骨に攻撃するなど、最近のサイバー恐喝の常とう手段も駆使します。リサーチャーが確認した事例では、「お前はポルノ中毒者だ!」という脅迫状で画面をロックするケースもありました。こうしてユーザの羞恥心につけ込み身代金の支払いを促します。

■さまざまな業界へ攻撃

過去数ヶ月間のさまざまなランサムウェア感染事例から、個人ユーザから企業や組織のネットワーク全般までランサムウェアが「より大きな獲物」を狙っていることが伺えます。大きな注目を集めた最近の攻撃事例では、ランサムウェアがさまざな業種や業界の重要システムの運営妨害に活用できることも示しています。

2016年2月、米国ロサンゼルスの病院「Hollywood Presbyterian Medical Center (HPMC)」がランサムウェア感染によるシステムダウンで「病院内の非常事態」を宣言したというニュースが報道され、この事例では、ランサムウェアが個人ユーザや組織だけでなく人命も危険に陥れる脅威となり得ることが示されました。CTスキャンや臨床検査、調剤、書類処理に関連する同病院のネットワークやコンピュータが1週間以上オフラインとなり、病院の職員はペンと紙での作業を余儀なくされました。緊急治療室のシステムも影響を受け、患者を別病院へ搬送しなければなりませんでした。

報道によると、病院側は、重要業務へのアクセス復旧を期待して身代金を全額支払ったようです。しかし同病院CIOのSteve Giles氏は次のように述べています。「サイバー犯罪者の要求に従っても物事は解決しませんでした。身代金の支払いで提供されたものは、900に及ぶ端末ごとに固有の複号コードでした。魔法のステッキのように復号コード1つで解決とはいかず、サーバごと端末ごとに900の復号コードを1つ1つ処理する骨の折れる作業に直面しました。」

ランサムウェアの被害者は、同病院だけではありません。運営妨害などの被害を受けた組織は急増し、公共サービスや医療サービスの提供機関、警察教育機関にも及んでいます。教育機関を狙った最近の攻撃でも同様に、被害者が身代金を支払いざるを得ない状況が示されました。カナダのカルガリー大学は、重要情報がランサムウェアの被害を受け、暗号化された調査データ復旧のため、約2万カナダドル(約170万円)の身代金をビットコインで支払いしました。同大学の財務・サービス担当副学長Linda Dalgetty氏は声明で、「われわれは、世界屈指の研究に日々取り組む研究機関であり、誰が被害を受けたかも明らかでない中、研究者が生涯をかけた研究成果が失われることだけは避けたかった」と述べています。

このように次々と著名な機関がランサムウェアの被害に見舞われる中、大規模な研究機関でも簡単に要求に屈することをサイバー犯罪者は熟知しています。被害者を追い詰める手法さえ工夫すれば、身代金が支払われる可能性が高くなるということです。

■ランサムウェアとの戦い

今日のランサムウェアの動向を見ても、当分の間この脅威がおさまる気配はありません。こうしたデジタル恐喝への最近の対抗措置として、カルフォルニア州の弁護士Bob Hertzberg氏による法整備の取り組みがあげられます。この法制度により、ランサムウェアの拡散に関わった人物を特別処罰の対象とします。処罰には、最大4年の懲役刑と最大1万米ドル(約100万円)の罰金が含まれます。

Hertzberg氏は声明で米連邦捜査局(FBI)の統計を引用し、法制度の必要性を訴えました。FBIの報告によると、米国の2016年最初の3ヶ月間でラムサムウェアの被害総額は2億900万米ドル(214億7千万円)に達しています。2015年全体の被害総額が2500万米ドル(25億7千万円)と比べても、被害額の急増は明らかです。

このようにランサムウェアは、感染数の急増だけでなく、新たに巧妙化したファミリや亜種が毎日のように登場することから、個人ユーザや企業にとってセキュリティ上の悪夢となり続けています。これは、上述のように広く成功している攻撃手法に基づき、長期的にもランサムウェアが発展し続けている状況も物語っています。

実際、ランサムウェアの感染数増加と巧妙化の勢いは凄まじく、被害も頻ぱんに確認されています。2014年と2015年に確認された暗号化型ランサムウェアファミリは合計49であったのに対し、2016年6月末時点で既に50以上もの新しいファミリが確認されています。そして最も警戒すべきは、感染数と巧妙化の両面で進化し続けていることです。

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。