コンテンツにスキップ

スティーブ・マクラッケンによるイラスト

カジノサイト 犯罪者はデータを人質にとっていかにして 1,800 万ドルを稼いだか

ミーガン・ゲイツ著
2015 年 12 月 1 日

印刷問題:2015 年 12 月

職場でコンピュータを使用し、同僚を支援するドキュメントを探してファイルを検索していると、画面に「あなたのファイルは暗号化されています。ファイルの復号化には 500 ドルかかります。」というメッセージがポップアップ表示されたと想像してください。コンピュータをワイプし、バックアップを使用してファイルを戻しますか?それとも支払いますか?

これは、マサチューセッツ州テュークスベリー警察署が今年初めにコンピュータ ネットワークがランサムウェアに感染し、警察報告書や逮捕記録などの日常業務に必要な重要文書が暗号化されたときに直面したまさに難題です。 

ファイルの復号化に5日間を費やし、専門家に解析してもらうためにコンピュータをコモンウェルス・フュージョン・センターに送ってまでした後、同省はデータを取り戻すために身代金500ドルを支払った、とボストン・グローブ紙が報じた。

被害者は彼だけではありません。 2014 年 4 月から 2015 年 6 月までの間に、FBI のインターネット犯罪苦情センターには CryptoWall 関連のランサムウェア苦情が 992 件寄せられ、被害者からは総額 1,800 万ドル以上の損失が報告されていると FBI の 6 月の公共サービス発表で発表されました。

これには、ネットワーク緩和、ネットワーク対策、生産性の損失、弁護士費用、IT サービス、従業員や顧客の信用監視サービスの購入など、ランサムウェアに関連するその他のコストは含まれていないと発表では説明されています。 「これらの金融詐欺計画は個人と企業の両方をターゲットにしており、通常は非常に成功しており、被害者に重大な影響を与えています。」

記録的な利益を生み出すランサムウェアは新しい開発ですが、ランサムウェア自体はそうではありません。実際、コロンビア大学のアダム ヤングは、1996 年 5 月に電気電子学会のセキュリティとプライバシーのシンポジウムで暗号ウイルス学に関する論文を発表したときに、このことをレーダー画面に載せました。

2015 年 5 月の McAfee Labs 脅威レポートによると、ヤング氏はプレゼンテーションの中で、非対称暗号化のプロセスを使用した最初のランサムウェア プロトタイプのいくつかについて説明しました。

「非対称暗号化とは、ファイルの暗号化と復号化に 1 対のキーを使用する暗号化です」と報告書には記載されています。これを悪用するために、サイバー犯罪者は被害者をだまして感染した広告、電子メール、または添付ファイルをクリックさせたり、感染した Web サイトにアクセスさせたりします。その後、ランサムウェアは被害者のコンピュータに移動し、非対称暗号化を使用してその上のすべてのファイルを暗号化します。場合によっては、コンピュータに接続されている共有ドライブ上のファイルも暗号化します。

ランサムウェアでは「公開鍵と秘密鍵のペアが被害者のために攻撃者によって独自に生成される」と報告書は説明しています。 「ファイルを復号化するための秘密キーは攻撃者のサーバーに保存されており、被害者は身代金の支払い後にのみ利用可能になります。」

この身代金は金額によって異なりますが、通常、被害者のファイルを復号化するための鍵として 200 ドルから 10,000 ドルの間です。このキーがなければ、ファイルを復号してデータを取り戻すことはほぼ不可能です。また、被害者が身代金を支払ったとしても、引き換えに鍵を受け取れない場合もあります。

ヤング氏のプレゼンテーション以来、ランサムウェアは進化しており、そのさまざまな形式は通常、ランサムウェア「ファミリー」と呼ばれています。最初の主要なファミリーの 1 つは Gpcode.ak で、2008 年に出現し、被害者のコンピューター上の膨大なファイルのリストを暗号化しました。その後、2013 年に CryptoLocker が登場し、オンライン バンキングを利用する人々をターゲットにし、最終的には 500,000 人の被害者が出ました。

2014 年 5 月、法執行機関は、CryptoLocker を配布した GameOver Zeus ボットネットを解体することで、CryptoLocker を阻止することができました。また、業界は Fox-IT と FireEye を通じて協力して、被害者がファイルを復号化するためのキーを見つけることができるポータル「Decrypt CryptoLocker」を作成しました。

しかし、これはランサムウェアが消滅したことを意味するものではありません。 「これは一般的な犯罪と同じです。1 つのギャングを排除しても、最終的には別のギャングがそれに代わるでしょう」と、IBM の商用セキュリティ研究開発チームである X-Force のマネージャーであるロバート フリーマンは言います。そして、サイバーブロック上の新しい強力なランサムウェアは、Curve Tor Bitcoin (CTB)-Locker です。

CTB-Locker の名前は、非常に安全な暗号形式である楕円曲線暗号化の使用に由来しています。これは破壊的な形式のランサムウェアであり、被害者は復号キーが削除され、ファイルが永久に暗号化されたままになるまで、復号されたファイルを取り戻すまで 96 時間の猶予を与えられます。

多くの人がデータを取り戻すために身代金を支払っており、サイバー犯罪者にとっては大きな投資収益率となっている、とインテル セキュリティのバイスプレジデント兼 CTO であるラジ・サマニ氏は述べています。 「ランサムウェアが増加しているのは、ランサムウェアが実際に実質的な収益を生み出しているからです」と彼は説明します。

サイバー犯罪者は、キャンペーンを実施するための初期費用が少なく、現在のランサムウェア キャンペーンにはサイバーの専門知識がほとんど必要ないため、場合によっては週に数千ドルという高額な収入を得ることができます。

「キャンペーンの実施にはそれほど費用はかかりません。実際、キャンペーンの実施に技術的な知識は必要ありません」と彼は言います。 「今ではオンラインにアクセスできるようになり、このような種類のキャンペーンを実施するためのステップバイステップのガイドを案内するポータルもあります。」

ステップバイステップのガイドに加えて、ランサムウェアは、直接販売から一種の「サービスとしての恐喝」モデルに移行するという全体的な傾向に従っており、犯罪者がキャンペーンを実施しやすくしているとフリーマン氏は説明します。

「攻撃者が使用する傾向にあるほとんどのマルウェアやエクスプロイト キット、ツールは、一般に、ソフトウェアを購入するために店舗に行かずにオンラインで購入するのと同じように、直接販売から移行しています。」と彼は言います。 「アンダーグラウンドでも同じことが起こっています。そこでは、他の人を攻撃するために必ずしもソフトウェアを所有している必要はありませんが、24 時間年中無休のサポートがあり、一定期間リースしているだけかもしれません。」

さらに、CTB-Locker を使用すると、サイバー犯罪者は、米国や西ヨーロッパなど、データを復号化するために身代金を支払うことができる可能性が高い地域の個人をターゲットにするようにキャンペーンをカスタマイズできます。 「これはビジネス上の決定です…サイバー犯罪者は、支払いをする可能性のある人の数を最大化する方法を検討しています」とサマニ氏は説明します。 

そして残念なことに、この傾向はおそらく 2016 年まで続くでしょう、特に身代金が 200 ドル台にとどまる場合には、とフリーマン氏は言います。 

「価格が 200 ドル程度の範囲にある限り、攻撃者にとっては非常に儲かります。」と彼は付け加えました。なぜなら、人々はデータをバックアップするよりも身代金を支払う方が便利だと考えるかもしれないからです。 「データを取り戻すための別の情報源がない場合は料金を支払う必要はないということを、コミュニティとして一般の人々に簡単に説得できるとは思えません。」

代わりに、悪意のあるリンクやファイルをクリックしないように適切なサイバー衛生を奨励することに重点を置く必要があり、企業の IT 部門はデータを定期的にバックアップし、バックアップが機能することを確認し、定期的にバックアップをテストして感染していないことを確認する必要があります。

「現在、ランサムウェア攻撃から回復するのが難しいのは、ローカル ディスク、USB ドライブ、クラウド サービスなどのバックアップがあり、それがマウントされている場合、つまりコンピュータ上でアクセスできるため、マルウェアとマルウェアによるバックアップの暗号化も可能であるということです」とフリーマン氏は言います。 「ユーザーは、データをバックアップするためのベスト プラクティスが何であるかを考慮するか、場合によっては再考する必要があります。」

企業はまた、「王国全体への鍵を誰かに渡す」のではなく、アクセスが必要なファイルとドライブのみに個人ユーザーを制限すべきだとサマニ氏は言う。コンピュータが会社のすべてのファイル共有に接続されている場合、コンピュータ ユーザーが誤って悪意のあるリンクをクリックするだけで、感染した 1 台のコンピュータからランサムウェアが簡単に広がり、会社のすべてのデータが暗号化されてしまいます。それが、サマニがよく知っている事件で起こったことだ。

「その後、[従業員が] 何をしたかというと、それらすべてのファイルをロックしたのです」とサマニ氏は付け加えた。 「そして現実には、彼らが身代金を支払ったとき、実際には復号キーを入手できませんでした。ビジネス全体が完全にロックダウンされました。」

しかし、最も重要なのは、ランサムウェアがデバイスに感染し、データを失うか、復号化するために身代金を支払うかの選択を迫られる可能性を減らすために、積極的なアプローチをとることです。

「会社の運命やビジネスの運命、あるいは成長した家族の写真を偶然に任せたくはありません」とサマニ氏は言います。 「ランサムウェアに関しては、積極的に行動することが最善の防御策です。」 

arrow_upward