2016年8月2日

エキスパートに聞く:ジョーント・ファン・デア・ウィールがランサムウェアを語る

特別プロジェクト 脅威

ジョーント・ファン・デア・ウィール(Jornt van der Wiel)はKaspersky Labのグローバル調査分析チーム(GReAT)のメンバーであり、ランサムウェアと暗号化を専門とする優秀なエキスパートでもあります。オランダ在住で、Kaspersky Labには2年以上勤務しています。

ask-expert-featured

ランサムウェアや暗号化についてウィールへの質問を募集したところ、驚くほど反応がありました。事実、1回の記事では掲載しきれないほど多くの質問が寄せられたため、2回に分けてお届けします。前編では主にランサムウェアに関する質問にお答えし、後編では暗号化に関する質問にお答えします。

ランサムウェアは今後、従来のウイルスやトロイの木馬といったマルウェア以上に大きな不安材料となるのでしょうか?

はい、確実に。新たに発見されるランサムウェアのファミリーも、ランサムウェアによる感染の試みも、増加傾向です。ランサムウェアの脅威は日に日に拡大しています。大きな理由は、比較的楽に稼げるからです。犯罪者が誰かを感染させる、感染した被害者は身代金を払う、支払いが完了したら、被害者は暗号キーを受け取りファイルを復号できるようになる。それ以上のコミュニケーションは不要です。バンキング型マルウェアの場合だと、被害者とチャットで対話しなければならないのが普通です。

ランサムウェアによる感染を避けるにはどうすればよいですか?

  • インストールしてあるソフトウェアには、常に最新のアップデートを適用しましょう。
  • 不審なメールのリンクをクリックしたり、添付ファイルを開いたりしないでください。
  • Windowsでは、ファイル拡張子の表示を有効にしましょう。こうしておくと、たとえば、ファイル名が「invoice.pdf」ではなくて実際は「invoice.pdf.exe」であることがわかります。
  • アンチウイルス製品をアップデートし、ヒューリスティック機能を有効にしてください。
  • 万が一に備えて、データのバックアップをとっておきましょう。バックアップはオフラインで保管するか、容量無制限でバージョン管理機能が付いたクラウドサービスに保管してください(ローカルドライブのファイルが暗号化され、クラウドと同期されたとしても、暗号化されていない直近のバージョンを復元できます)。

個人は企業よりもランサムウェアの攻撃を受けやすいのでしょうか?

誰でもランサムウェアの標的となり得ます。特定の企業が狙われるケースもありますが、不特定多数を感染させるために大量のスパムがばらまかれるのをよく見かけます。なお、一般的に大企業はデータのバックアップをとっているので、身代金を支払おうとしません。小規模な企業では、バックアップを復元するよりも身代金を払った方が安く済む可能性があるため、支払いに応じる傾向が見られます。

ランサムウェアによって暗号化されたファイルは、いつ復号できるのでしょうか?

次のケースが考えられます。

  • マルウェア作成者が実装ミスを犯しているために暗号の解読が可能な場合。PetyaCryptXXXのケースが、これに該当します。作成者がどのようなミスをしたのかは、残念ですがご紹介できません。公にするのは、添削してあげるようなものですから。一般的に言って、正しく暗号化するのは簡単ではありません。暗号化や暗号化で犯しがちなミスについては、「Matasano Crypto Challenge」と検索してみてください。
  • マルウェア作成者が自分の行いを悔いて、暗号キー、つまり「マスター」キーを公開した場合。TeslaCryptのケースが該当します。
  • 暗号キーの保管されたサーバーを法執行機関が差し押さえた場合。昨年、オランダ警察が回収した暗号キーを基に、Kaspersky LabはCoinVaultの被害に遭った人向けの復号ツールを開発しました。

身代金を支払って問題が解決する場合もありますが、支払ったところで確実にファイルが復号される保証はありません。また、身代金を支払えば、犯罪者のビジネスモデルを支え、ランサムウェアの感染者の増加に加担することになります。

CryptXXX復号ツールの手順には、「暗号化されたファイルのほかにも暗号化されていないファイルが必要」と書かれています。それでは復号ツールの意味がないように思えます。暗号化されていないファイルがあれば、ツールは必要ないのですが

いい質問ですね!ご指摘ありがとうございます。もっとわかりやすい説明を心がけなければなりませんね。CryptXXXは、同じ暗号キーですべてのファイルを暗号化します。たとえば1,000個のファイルが暗号化され、その中の1ファイルだけ、どこかに元ファイルが残っていたとします。たとえば、友達にメールで送った画像ファイルとか。そのファイルを復号ツールに指定すれば復号キーを復元することができ、他の999ファイルも復号可能というわけです。ただし、ファイルは暗号化されていない元ファイルでなければなりません。

ランサムウェアには、ファイル暗号型のマルウェアしかないのでしょうか?

いいえ。もう1つ、コンピューターをロックするタイプもあります。ただ、画面ロック型は一般的に回避や削除がしやすいので、最近はだんだん使われなくなっています。画面ロック型ランサムウェアとその対策については、こちらの記事をご覧ください。

海外のニュースを見ていると、ランサムウェアの問題はいたちごっこのようです。専門家が対策を見つけると、犯罪者はすぐにそれをかわそうとする…。実際、こういう感じなのでしょうか?

そうでもありません。Kaspersky Labの製品に搭載されているシステムウォッチャーという機能は、実行中のプロセスのふるまいを監視し、新種のランサムウェアをほとんど検知することができます。未知のランサムウェアも検知します。まれに、システムウォッチャーで検知できないこともあります。その場合は、新たに登場したタイプも検知するふるまいシグネチャを作成します。繰り返しになりますが、これは本当にレアケースです。

犯罪者は追跡の難しいビットコインで支払いを要求してきます。こうした犯罪者を追跡し、突き止めることはできるのでしょうか?

実は、ビットコイン取引の追跡は難しくありません。取引はブロックチェーンに記録されるからです。これはビットコインの性質なので、どんな取引でも追跡できます。ただし、取引する相手が誰かはわかりません。したがって、法執行機関は取引情報からウォレットを突き止めることはできますが、ウォレットの所有者は別途探す必要があります。

追跡を妨害するために導入されたのが、ビットコインミキサーです。ミキサーは、大量のビットコインを投入する機械だと考えてください。投入されたビットコインは何人もの所有者の間を行き来するため、追跡が難しくなります。たとえば、私がランサムウェアの被害者で、ウォレットにビットコインを支払わなければならないとします。ウォレットに振り込むと、振り込まれたビットコインはミキサーにかけられます。ビットコインは誰かのビットコインと交換され、結局、どのビットコインを追跡しているのかわからなくなってしまいます。ご想像どおり、追跡対象を見失うことはよくあります。

このテーマに関しては数々の研究が行われていて(Googleで検索すれば、たくさん見つかります)、追跡可能な場合もあるようです。手短にいうと、特定のウォレットまで取引を追跡できることはありますが、簡単にはいきません。しかも、ウォレットが判明したとしても、ウォレット所有者の個人情報を明らかにするには、ビットコイン取引所と法執行機関で協力し合う必要があります。

CoinVaultを発見し、作成者を見つけるまで何年かかりましたか?

そもそもの始まりは、Panda Securityのバート・ブレーズ(Bart Blaze)氏がCoinVaultの新たな検体を見つけたとツイートしたことです。検体のうち2つはCoinVaultではなかったのですが、関連があることは明らかでした。そこで、この件についてブログを書き、CoinVaultの進化の歴史をまとめようと考えました。記事を9割方書き進めたところで、オランダの国家ハイテク犯罪ユニット(NHTCU:National High Tech Crime Unit)に報告しました。

記事を書き終えた後、2人の容疑者へとつながる手掛かりが見つかりました。その情報は当然、NHTCUにも報告しました。ブレーズ氏のツイートから手掛かりの発見まで、せいぜい1か月といったところですが、その間はブログの執筆に専念していたのではなく、CoinVault以外の調査も進めていました。記事が掲載されてから約半年をかけてNHTCUは入念に捜査し、昨年9月の逮捕劇へと至りました

サイバー犯罪者はランサムウェアでどのくらい稼いでいるのですか?

いい質問ですが、お応えするのはかなり難しいですね。はっきりとした額を言えるのは、たとえば、ビットコインの全取引から特定のウォレットを突き止めることができた場合だけです。もしくは、決済情報が保管されているC&Cサーバーを警察が差し押さえることができたら、可能かもしれません。わかりやすくするために、こう考えてみましょう。犯罪者が250,000人を感染させ(大規模な活動だとしたら、かなり実態に近い人数です)、復号に200ドルを要求したとします(実際の平均額は約400ドル)。被害者の1%が支払いに応じた場合、約500,000ドルを稼いだことになります。

ローカルネットワーク内にある感染コンピューターから、このコンピューターと同じOSを搭載する他のコンピューターにネットワーク経由で感染が広がる可能性はありますか?また、1つのランサムウェアでも複数のOSに感染しますか?

1つめの質問ですが、ランサムウェアにワームの機能が実装されていれば、ネットワークを通じて感染を広げることは可能です。ワームの機能を持つランサムウェアのファミリーには、ZcryptorSamSam(英語記事)があります。

2つめの質問ですが、ランサムウェアの標的がWebサーバーであれば、1つのランサムウェアを複数のOSに感染させることは可能です。たとえば、PHPで書かれた脆弱なコンテンツ管理システムが稼働するWebサーバーが、ランサムウェアのターゲットになったとしましょう。ランサムウェアは、このWebサーバーが稼働するWindowsコンピューターに感染し、さらに、他に感染可能なコンピューターがないかどうかインターネット上をスキャンします。次に標的となるコンピューターは、同様にPHPがインストールされたWebサーバーを実行していても、OSはLinuxかもしれません。まとめると、答えは「感染できる」です。複数のOSに感染するランサムウェアは存在します。

次回は、ウィールが暗号化に関する質問に答えます。ご期待ください!