ランサムウェアが今年3種類も流行。変化するランサムウェアの利用方法とは
2017年は「ランサムウェアの年」だったと言っても過言ではない。
ファイルを暗号化するマルウェアは30年も前から存在しているのは確かだ。
だが、おそらくここ数ヶ月の間に、”セキュリティ業界に携わる人達の懸念”から、”世界的な懸念”まで押し上げられてしまったのではないだろうか。
実際にランサムウェアという単語が、今年の9月に辞書に掲載された事もあった。
この記事では、簡単に今年流行した3つのランサムウェアについて見ていきたい。
WannaCry
WannaCryは、地球上に存在する何千万ものコンピュータに対して被害を及ぼした。
WannaCryの大元の原因となったのは、NSAから流出したワームの様に拡散していくNSAのエクスプロイトキットだった。
WannaCryによってイギリスのヘルスケアサービスは実質の停止状態にまで追い込まれた。
Petya
WannaCryの拡散から数週間しか経っていないにも関わらず、新たなランサムウェアの被害が確認された。
Petyaによるものだ。
PetyaもWannaCryに似たワームのように拡散する能力を持っていた。
更に、感染したコンピュータのデータを復元できない状態にまで完全に削除してしまう程、強力なランサムウェアだった。
BadRabbit
現在も被害が確認されている、ロシアやウクライナ等、東欧地域を中心に拡散したランサムウェア。
Petya/NotPetyaの作成者が携わったとされている。
関連:【号外】”BadRabbit”(ランサムウェア)がロシア、ウクライナを中心に感染拡大
お金を搾取する目的で作成・拡散される
ランサムウェアの目的には、大きく以下の2つに大別される。
- 金銭目的
- プロファイリング目的
もし金銭目的でWannaCryやNotPetyaが拡散されていたのであれば、あれほどの被害は及ぼすことはなかったと、ZDNETでは指摘している。
確かに、WannaCryの黒幕とされている北朝鮮政府と関わりの強いクラッカー集団は、WannaCryによって獲得したおよそ140,000米ドル相当のビットコインを換金して、報酬を得た事は間違いない。
だがWannaCry、Petya、そして現在も警戒されているBad Rabbitは、ランサムウェアが「ただの金銭を回収する為のマルウェア」という枠から飛び出し「世界的な脅威」と言ってもいいレベルにまで達してしまった。
変化するランサムウェアの利用方法
ランサムウェアが、他のアイテムと一緒についてくることが明らかになっている。
例えばPetyaは、端末内にあるデータを全て削除してしまうほど強力なマルウェアである。
本来ランサムウェアは、感染した端末に保存されているデータを暗号化して身代金を請求するマルウェアだったが、ランサムウェアという表の顔をしながら、バックグランドでは別の目的をするプロセスが動いていてもおかしくはないのだ。
セキュリティ会社KnowBe4の専門家・Perry Carpenter氏はこう語る。
(暗号化して身代金を請求するという)ランサムウェアというのは表の顔で、その裏では他の様々な事が起きている可能性がある。例えば、感染したハードの情報漏えい、データ収集、金銭取引、ボット化などだ。
これは、ランサムウェアに感染する事が最早小さな問題となってしまっている事になる。
トロイの木馬で仕組んだバックドアや、盗まれた認証情報を使って、攻撃者はネットワークにアクセスしてターゲット端末にアクセスする事ができるようになる。
ランサムウェアを使って脅迫も可能
更に、ランサムウェアを使ってデータを暗号化して身代金を請求する以外にも使い方がある。
例えば、ランサムウェアに感染した端末のデータを収集し、データをインターネット上に公開すると脅してしまうのだ。
企業からしたら社外秘の情報が流出してしまうので脅迫に応じる可能性は非常に高い。
また攻撃者からしても、元データをコピーして手元に保存しておけるので、他の攻撃に役立てる事も出来る。
そして再度、ターゲットに対して脅しをかける事も出来てしまう。
実はこの方法は、既にAndroidをターゲットに拡散したランサムウェアで使われていたようだ。
まとめ
これまで述べてきたように、ランサムウェアの拡散スピードは年々加速している。
RaaSがダークネットで広がっている事や、ランサムウェアを使えば簡単にお金を手に入れられるのも大きな理由とされている。
現在も被害が確認されているBadRabbitがどのように拡散していくのだろうか。
また、他の種類のランサムウェアが流行する可能性も十分にある。
このブログでランサムウェアの動向について調べていきたいと思う。