写真提供:マイナビニュース

写真拡大

●ランサムウェアの歴史を紐解く
ランサムウェアとは、PCやスマートフォンをなんらかの方法で使用不能状態にし、元に戻すためには身代金を払え――と要求するマルウェアの一種だ。身代金のRansomとSoftwareからの造語である。

ランサムウェア自体は20年以上前から存在していたものの、手口は巧妙化、凶悪化が進み、近年被害が拡大している。2016年4月には、IPAが「ランサムウェアに感染した」という相談が急増しているとして注意を喚起。また、2016年6月頃には、家庭のスマートテレビを操作不能にし、ロック解除のための身代金を要求するランサムウェアが登場するなど、今後IoTに関連した攻撃も活発化していくとみられている。

今回、ランサムウェアの実態や最新の状況、さらには対策などについて、全4回にわたり紹介していきたい。また、いくつかの事例については、トレンドマイクロの森本純氏に最新の情報を尋ねた。

○最初に流行した端末ロック型

まずは、ランサムウェアの歴史を簡単に振り返ってみたい。ランサムウェア自体は、1989年頃まで遡る。いくつかのパターンがあったが、2011年頃に流行したのが、ポリスランサムといわれるランサムウェアだ。

この例ではインターポールを騙り、罰金を払うように命じている。オバマ大統領の写真も掲載され、"いかにも"な雰囲気を出している。同様な手口として、FBI、アメリカ国土安全保障省、ロンドン警視庁など法的機関などを騙ることが多い。このようなランサムウェアは、端末ロック型と呼ばれるもので、画面表示を乗っ取り、操作不能状態にする。そして、この状態を解除したければ身代金を払え、と脅迫する。端末ロック型は、ランサムウェア自体を駆除すれば、PCが利用可能になる。

○駆除してもファイルが戻らない暗号型

また、暗号化型のランサムウェアは、初期のランサムウェアでも多くみられた。これはその名の通り、ユーザーのファイルを暗号化し、PCを使用不能する。暗号化型のやっかいなところは、ランサムウェアを駆除しても、暗号化されたファイルがそのままになってしまうことだ(2次被害ともいえるだろう)。図2は、2013年9月に検知されたCryptLockerだ。

○日本語にも対応したランサムウェア

2014年には、日本語のランサムウェアも登場する。日本語化というよりも、マルチランゲージ化対応といったほうがよいかもしれない。OSのロケール情報を読み取り、その国の言語で脅迫文を表示する。しかし、日本語レベルは低く、機械翻訳を使ったものと推察される。

図3は、2015年に検知された、CryptoWallだ。この段階になると、かなり日本語レベルもあがってきている。と同時に、ランサムウェアの脅威も非常に高いものとなってきた。

●「データをネットで拡散する」という恐喝も
○最新のランサムウェアを知る

次回以降では、暗号化型ランサムウェアのJIGSAWの感染事例を紹介するが、ここでは最近登場した代表的なランサムウェアをいくつか紹介しよう。まずは、PETYAだ(2016年3月に検出)。

PETYAに感染すると、CHKDSK(チェックディスク)のような画面が表示される(実際は、ドライブの書き換えを行っていると思われる)。その後、再起動が行われ、マスターブートレコード(MBR)を書き換えて、図4のような"ドクロ"画面となる。キーを押すと、身代金支払いに関する画面となる。

図5はChimeraだ(2015年12月に検出)。画面にもあるように、暗号化を行ったので、身代金を支払うように求められる

ここでさらに問題なのが、もし、支払わない場合は、個人的なデータ(画像や動画なども)をインターネット上に、あなたの名前で公開すると恐喝する。あの手、この手で身代金を支払わせようとしている。

この他にも、特徴的な最近のランサムウェアには下記のようなものがある。

・ネットワーク拡散し、共有フォルダも暗号化するSAMAS(2016年4月に検知)

・確定申告を狙ったPowerWare(2016年4月に検知)

・ファイルの拡張子を「.vvv」に変えるvvvウイルス(2015年12月に検知)

いずれも、ユーザーファイルを暗号化する点は同じ。しかし、身代金を支払わせるために、さまざまな演出や脅迫を行っている点が特徴といえる。

●狙われているAndroid端末
○Android向けのランサムウェアも急増中

そして、2016年前後からAndroid向けのランサムウェアが急増している。

図6は、Android端末の画面をロックして使用不能にするランサムウェアだ。多少不自然な日本語ではあるが、時間内に罰金を支払うよう脅迫している。ここでは、セキュリティベンダーの調査結果をいくつか紹介したい。まずは、カスペルスキー。

この図によれば、2016年1月以降、急増化がみられる。続いて、ESETによる調査結果である。

こちらでは、2015年半ばあたりから急増している状況がうかがえる。最後にトレンドマイクロの調査結果だ。トレンドマイクロの調査によれば、この1年で4倍に急増している。

これらのランサムウェアのタイプとしては、画面ロック型がほとんどだ。この理由は、AndroidではSDカード上のデータ以外は暗号化することが難しいからだという。

いずれにしても、脅威であることに変わりはない。攻撃者は、Windowsなどのプラットフォームで攻撃が有効だと判断すると、すぐさま、他のプラットフォームへの攻撃を開始する。この手口は、多くのウイルスでみられる。PCだけでなく、スマートフォンなどもランサムウェア対策が求められる。

(c-bou)