ランサムウェアとは、身代金を支払わない限り、被害者のデータを公開すると脅迫したり、被害者のデータへのアクセスを永久に遮断するというクリプトウイルスのマルウェアの一種。
単純なランサムウェアの中には、知識のある人はかんたんに元に戻すことができるようにシステムロックするものもありますが、より高度なマルウェアでは、クリプトウイルスによる恐喝と呼ばれる手法が用いられる。
精密に実装されたクリプトウイルス攻撃では、復号鍵なしにファイルを復元することは難しい。また、身代金にはpaysafecardやBitcoinなどの追跡が困難なデジタル通貨が使用されるため、犯人の追跡や起訴が困難となる。
ランサムウェアの攻撃は、通常正規のファイルに偽装したトロイの木馬を使用して行われ、ユーザーは電子メールの添付ファイルとして届いたファイルを騙されてダウンロードしたり開いたりする。しかし、有名なWannaCryワームは、ユーザーが操作しなくても自動的にコンピュータ間を移動するものもある。
2012年頃から、ランサムウェア攻撃の利用は国際的に拡大している。 2018年の上半期には、1億8150万件のランサムウェア攻撃があった
この記録は、2017年の同時期と比較して229%の増加を示している。
2014年6月、ベンダーのMcAfeeは、同四半期に収集したランサムウェアのサンプル数が前年同期の2倍以上であったというデータを発表している。
クリプトロッカー(CryptoLocker)は特に活発であり、当局によって停止されるまでに推定300万米ドルを稼いだと言われている。CryptoWallは、米国連邦捜査局(FBI)によって2015年6月までに1,800万米ドル以上を荒稼ぎしたと推測されている。
実際の動作
ファイルを暗号化するランサムウェアの概念は、コロンビア大学のYoungとYungによって考案・実装され、1996年のIEEE Security & Privacyカンファレンスで発表された。
これは、映画「エイリアン」に登場する架空のフェイスハガーにヒントを得たもので、「クリプトバイラル・エクスプローション(Cryptoviral extortion)」と呼ばれている。クリプトバイラル・エクスプローションは、攻撃者と被害者の間で行われる以下の3ステップで行われる。
- 攻撃者→被害者:攻撃者が鍵ペアを生成し,対応する公開鍵をマルウェアに仕込む。そのマルウェアに感染させる。
- 被害者→攻撃者: クリプトウイルスランサム攻撃を行うために、マルウェアがランダムな共通鍵を生成し、その鍵で被害者のデータを暗号化。対称鍵の暗号化には、マルウェア内の公開鍵を使用する。これはハイブリッド暗号化と呼ばれ、被害者のデータの対称暗号文だけでなく、小さな非対称暗号文も生成される。対称鍵と元の平文データをゼロ化して復元を防ぐ。非対称暗号文と身代金の支払い方法を記載したメッセージをユーザーに表示。被害者は、非対称暗号文と電子マネーを攻撃者に送金する。
- 攻撃者→被害者:攻撃者は代金を受け取り,攻撃者の秘密鍵で非対称暗号文を解読し,対称鍵を被害者に送信。犠牲者は暗号化されたデータを必要な共通鍵で解読し、クリプトウイルスランサム攻撃が完了する
対称鍵はランダムに生成されるため、他の被害者を助けることはできない。また、攻撃者の秘密鍵が被害者に公開されることはなく、被害者はごくわずかな暗号文(暗号化された対称暗号鍵)を攻撃者に送るだけでやり取りが完了する。
ランサムウェアの攻撃は、通常、トロイの木馬を使って行われる。トロイの木馬は、悪意のある添付ファイル、フィッシングメールに埋め込まれたリンク、ネットワークサービスの脆弱性などを介してシステムに侵入する。そして、このプログラムは悪意のあるプログラム(ペイロード)を実行し、何らかの方法でシステムをロックしたり、システムをロックすると言いながらロックしなかったりします(例:スケアウェアプログラム)。
悪意のあるプログラム(ペイロード)は、法執行機関などの団体によると称する偽の警告を表示したり、システムが違法行為に使用されたと偽ったり、ポルノや「海賊版」メディアなどのコンテンツが含まれていると表示することもある
悪意のあるプログラム(ペイロード)の中には、支払いが完了するまでシステムをロックしたり制限したりするように設計されたアプリケーションで構成されているものもある。一般的には、Windowsシェルを自分自身に設定したり、マスターブートレコード(MBR)やパーティションテーブルを変更して、修復されるまでOSが起動しないようにしたりする。
悪意のあるプログラム(ペイロード)はファイルを暗号化し、強力な暗号化を使用して被害者のファイルを暗号化し、マルウェアの作者だけが必要な復号鍵を持っている仕組みが最も有名。
被害者は、ランサムウェアを削除するためのファイルを解読できるプログラム、もしくはペイロードの変更を元に戻すアンロックコードを入手するために支払いを強要される。攻撃者は、被害者のファイルを返さずに単に金銭だけを受け取る可能性もあるが、攻撃者にとって合意した通りに復号化を行うこととされている。理由としては復号できないことが被害者にわかってしまえば、被害者は支払いをしないためである。
ランサムウェア攻撃の要素として、「追跡されにくい便利な支払いシステム」が重要な要素となっている。このような支払方法は、電信送金、プレミアムレートのテキストメッセージ、paysafecardなどのプリペイドバウチャーサービス、暗号通貨Bitcoinなどさまざまなものが利用されている。
2020年5月、セキュリティベンダーのSophosは、ランサムウェア攻撃を修復するための世界平均コスト(ダウンタイム、人の時間、デバイスコスト、ネットワークコスト、機会損失、支払った身代金などを考慮)が761,106ドルであると報告しており、身代金を支払った組織の95%がデータを復元できたとしている。
ランサムウェアの種類
暗号化ランサムウェア
最初に確認されたマルウェアによるランサム攻撃は、1989年にJoseph Poppによって書かれた「AIDSトロイの木馬」で、恐喝者に支払う必要が全くないほど深刻な設計上の失敗がありました。そのペイロードは、ハードドライブ上のファイルを隠し、ファイル名だけを暗号化し、あるソフトウェアの使用ライセンスが切れたというメッセージを表示。復号化キーはトロイの木馬のコードから抽出できるにもかかわらず、ユーザーは修復ツールを入手するために「PC Cyborg Corporation」に189米ドルを支払うよう求められました。このトロイの木馬は「PCサイボーグ」とも呼ばれていた。
2006年半ばには、Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip、MayArchiveなどのトロイの木馬が、より洗練されたRSA暗号化スキームを利用し始め、鍵のサイズもどんどん大きくなり、2006年6月に検出されたGpcode.AGは、660ビットのRSA公開鍵で暗号化されていた。
暗号化ランサムウェアは、2013年後半に、デジタル通貨ビットコインのプラットフォームを利用して身代金を徴収するCryptoLockerの蔓延により、再び注目を集めることとなった。2013年12月、ZDNetは、ビットコインの取引情報に基づいて、CryptoLockerの運営者が10月15日から12月18日の間に、感染したユーザーから約2,700万米ドルを稼いだと推定している。
CryptoLockerの手法は、その後、CryptoLocker 2. 0(CryptoLockerとは関係ないと考えられている)、CryptoDefense(当初は、Windowsに組み込まれた暗号化APIを使用しているため、感染したシステムの秘密鍵をユーザーが取り出せる場所に保存するという重大な設計上の欠陥があった)、2014年8月には、Synology社製のネットワーク接続型ストレージデバイスを特に標的としたトロイの木馬が発見された。 [40] 2015年1月には、ハッキングを介して個々のWebサイトに対してランサムウェア風の攻撃が発生したことや、LinuxベースのWebサーバを標的に設計されたランサムウェアによる攻撃が報告されている
いくつかのランサムウェアは、多くのマルウェアシステムに共通する2段階のペイロードが準備されているものもある。ユーザーが騙されてスクリプトを実行すると、メインのウイルスがダウンロードされて実行される。二重ペイロードシステムの初期段階では、スクリプトはVBScriptマクロが添付されたMicrosoft Office文書、またはWindowsスクリプティング・ファシリティ(WSF)ファイルに含まれていた。
セキュリティソフトなどの検知システムがこれらの第一段階のペイロードをブロックするようになると、自己完結型のMicrosoft Windows PowerShellスクリプトを含むLNKファイルへと移行しており、 2016年にはエンドポイントセキュリティインシデントの約40%にPowerShellが関与していることが判明している。
一部のランサムウェアは、Torの隠しサービスに接続されたプロキシを使用してコマンド&コントロールサーバに接続しており、犯罪者の正確な位置を追跡することが難しくなっている。さらに、ダークウェブのベンダーは、この技術をサービスとして提供するようになってきている。
2020年9月28日、米国最大の医療機関であるUniversal Health Servicesのコンピュータシステムがランサムウェアの攻撃を受けた。各地のUHSチェーンから問題に気付いたとの報告があり、日曜日(9月27日)未明からコンピュータや電話システムがロックされたと報告した拠点もあった
Comments