写真提供:マイナビニュース

写真拡大

●「身代金」のビジネスモデルが確立
ランサムウェアの実態や最新の状況、対策などを全4回にわたり紹介していく本連載。第1回目では、ランサムウェア歴史や最新の脅威動向などを紹介した。

今回は、ランサムウェアをとりまく環境を解説するほか、「JIGSAW」という有名なランサムウェアの感染を、実例として紹介したい。このJIGSAW、非常に特徴的な脅迫活動を行うランサムウェアなのである。

○ランサムウェアのビジネスモデルが確立

第1回目で紹介したとおり、ランサムウェアとは、PCやスマートフォンをなんらかの方法で使用不能状態にし、元に戻すためには身代金を払え――と要求するマルウェアだ。

ランサムウェアを使い身代金を奪う手口は、すでにビジネスモデルが確立しているともいえる。そのいくつかを見ていきたい。まず、図1-a、bがランサムウェアの販売サイトだ。

図1-bでは、PETYAやMISCHAの購入者を募っている。注目したいのは、画面下にあるPEYMENT SHARE。これは、購入者への支払率が定められていることを示している。このサイトでは、実際に購入したランサムウェアで週にいくら稼ぐ(つまり、身代金をせしめた)かによって、購入者への報酬が決定される。イチからランサムウェアを開発しなくても、ランサムウェアを購入することで簡単に稼げますよ、利益は販売者と分けましょうというわけだ。

分配率は下記。より多くの被害者を出せば、より儲かる仕組みとなっている。まさに経済原則に従ったシステムだ。

・5ビットコイン未満:25%

・25ビットコイン未満:50%

・125ビットコイン未満:75%

・125ビットコイン以上:85%

さらに、セキュリティ対策ソフトの検知を避けるための暗号化サービスを無償で提供する(FREE CRYPTING SERVICE)など、購入者のための特典まで用意している。もはや顧客サービスといえるだろう。

○攻撃者による被害者用チャットサポートも

また、感染した被害者へのチャットサポートシステムを備えているランサムウェアもある。

トレンドマイクロ マーケティングコミュニケーション本部の森本純氏は、「業務に使用するPCがJIGSAWに感染した、ニューヨーク在住の会社員」を装い、このチャットサポートを利用した例を解説した。

その特徴が、下記となる(全文はトレンドマイクロのブログに掲載)。

・どうしてこんなことをという質問には、「私はあなたのファイルを取り戻すサポートをしています」と答える

・支払額を値切ると「24時間以内ならば、150ドルを125ドルまで下げる」と返答、すぐさま身代金を支払うよう重ねて要求する

森本氏によれば、実際にサポート要員を配置していることはまちがいないとのことだ。

販売所やチャットサポートが存在するということは、当然、コストもかかる。それでもなお存在するということは、運営していくだけの身代金による利益があがっていることを示すもの。逆な言い方をすれば、それだけ被害も発生しているということだ。

○身代金を払うべきか、否か

また、森本氏は、身代金を支払ったことがないので事実確認はしていないという前提付きだが「身代金を支払ったユーザーに、復号キーや復号ツールが提供されたという伝聞もある」と話した。

これは、どういう意味か? これもまさにビジネス化の表れといえるだろう。つまり、身代金を払っても絶対に暗号化したファイルは戻らないという風評が一般化すれば、誰も身代金を支払わなくなってしまう。それでは攻撃者にとっては都合が悪い。

そこで、一部に対し復号ツールを提供することで「身代金を支払えば、元に戻る」と思い込ませ、収入を得ようとしていると思われる。しかし、森本氏は、どんな場合でも犯罪者にお金を払うべきではないと主張する。

また、森本氏によれば、一部のファイルのみ無料で復元させるといった記述があるランサムウェアも確認されたとのことだ。これも、一部ではあるが、復元できたことにより、本当に身代金を払えば元に戻せるのではと錯覚させている。こちらも、トレンドマイクロでは、実際に復元できたかは確認できていないとのこと。

●1時間ごとにデータ削除、ゲームを仕掛けるJIGSAW
さて、実際に暗号化型ランサムウェアに感染するとどうなるのか。今回、ランサムウェア「JIGSAW」感染状態のキャプチャ画面と動画を入手したので、感染の流れを紹介したい。まず、ドキュメントフォルダに、Officeデータ、画像・動画データを配置する。

ここで、JIGSAWを起動する。脅迫画面がでるまでに、数分くらいかかる。これは、ファイル数などにも依存するようだ。いずれにしても、JIGSAWは、拡張子から暗号化を進めていく。そして、暗号化が完成すると、図4のようになる。

拡張子が「.fun」となっている。ここまでは背後で活動し、なんら目立った挙動は示さない。しかし、暗号化が完了すると、JIGSAWの興味深い挙動が現れる。

規定の暗号化が達成されると、脅迫画面が表示される。描かれたキャラクターは、ホラー映画「ソウ」に登場する殺人鬼"ジグソウ"が使う腹話術人形だ(このため、このランサムウェアがJIGSAWと呼ばれる)。

図6は、脅迫画面の途中である。この時点では、写真、動画、書類などのファイルは暗号化されていないという。24時間以内に150ドルを支払えば、復号化のキーを提供するとある。72時間後には、すべてのファイルを暗号化すると脅迫する。そして、最終画面は、図7のようになる。

最後に、タイマーが表示される。とにかく、急いで身代金を払わせるように仕向けている。もし、途中で再起動を行うと、一気に暗号化が行われる。

前回、紹介したような暗号化型ランサムウェアと比較すると、格段に演出効果が高い。たとえば、これを夜中に一人で体験したらどうなるか、想像してみていただきたい。かなり、衝撃的だろう。筆者もこの流れを見た印象は、正直「ここまでやるのか」という感じであった。

○暗号化されたファイルはどうなっている?

では暗号化されたファイルはどうなるのか。JIGSAWではないが、ランサムウェアで実際に暗号化されたファイルを、メモ帳で開いてみた。バイナリファイルを見慣れていない方は、中身がほぼ「わからないものになっている」と見ていただければ十分だ。

ちなみに、通常のExcelのファイルを、無理やりメモ帳で開いたものが、図9になる。

かろうじてだが、意味のある文字列らしきものが確認できる。これが、暗号化されているか、いないかの差だ。この2つを見れば、その違いがわかるだろう。

たとえば、オンライン取引などでは、通信内容を暗号化することがよく行われる。途中の通信内容をのぞき見しても、その内容をわからなくすることが目的だ。

暗号化されたファイルは、その内容をうかがい知ることができなくなっている。このように、ランサムウェアは、完璧にファイルを暗号化しており、普通の方法では、復元することは難しいことを改めて理解してほしい。

(c-bou)