さかのぼること2015年、Kaspersky Labはオランダのサイバー警察に協力して、初期に登場したランサムウェアの1つであるCoinVaultの作成者の逮捕に貢献しました。そのときに作成した復号ツールに着想を得て、当社はランサムウェア対策のポータルサイト『NoRansom』ポータルを立ち上げ、暗号化型ランサムウェアによってロックされてしまったファイルをロック解除する各種ツールを掲載しています。CoinVaultの作成者が逮捕されたのはしばらく前ですが、最近になって裁判の初審理が行われ、当社のエキスパート、ジョーント・ファン・デア・ウィール(Jornt van der Wiel)が出席しました(英語記事)。
CoinVaultは、2014年から2015年にかけて世界数十か国にて猛威を振るいました。被害を受けた人の数は1万人を超えると当社のエキスパートは推定しています。このトロイの木馬を作成して拡散させたのは、オランダ人の兄弟(21歳と25歳)でした。感染した人は1 Bitcoin(当時の価値で約200ユーロ)の支払いを要求され、兄弟は最終的に約2万ユーロを手に入れました。
CoinVaultは、当時としては進んでいました。暗号化機能だけでなく、昨今のランサムウェア型トロイの木馬に今でも見られる諸機能を備えていたのです。たとえば、暗号化されたファイルのうち1つは身代金なしで復号できるようになっていました。この手口は、犯罪者にとって有利な形で被害者心理に働きかけます。あとワンクリックで重要なデータを取り戻すことができると思うと、支払い要求に応じてしまいたいという誘惑に屈しやすくなるのです。他にも、画面にタイマーを表示し、身代金の額が引き上げられる時刻までの残り時間を容赦なくカウントダウンしてみせるという、心理作戦が仕掛けられていました。
巧妙に隠された手がかり
当社はCoinVaultを詳しく調査し、その構造に関する解説記事を2014年終盤に発表しました(英語記事)。このマルウェアがセキュリティ製品による検知と、解析を避けるために、作成者たちは多大な労力を払っていました。たとえば、CoinVaultは自分が動作している環境がサンドボックス内かどうかを判別可能であり、コードはかなりの程度まで難読化されていました。
それでも、当社のエキスパートはソースコードにたどり着くことに成功し、最終的に犯人逮捕につながった手がかりを発見することができました。コードの中にはオランダ語で書かれたコメントがあり、マルウェアの出所がオランダである可能性がかなり高いと見られたのです。
当社はその情報をオランダのサイバー警察に伝え、警察はその後数か月のうちに攻撃の首謀者らを逮捕したと発表しました。オランダ警察との協力関係の中で、当社は指令(C&C)サーバーから復号鍵を入手し、データ復号ツールの作成にこぎ着けました。
正義の女神は証拠を考量する
警察は、ランサムウェアの被害を受けた人々から1,300件近くの供述を集めました。そのうち何人かは、出廷して損害賠償を求めました。たとえばある人は、ランサムウェアのせいで休暇が台無しになったとし、改めて旅行に行くのに必要な額を5,000ユーロと見積もって賠償金として提示しています。
また、身代金を支払ったときと同じコイン、つまりBitcoinでの返金を求めた人もいました。CoinVaultの攻撃以降、仮想通貨の交換レートは30倍近く上がっているため、この申し立てが裁判所に認められれば、被害者がランサムウェア攻撃によって利益を得る初の事例ということになるでしょう。
最新の審理において、検察側は3か月の禁錮、9か月の執行猶予、および240時間の奉仕活動を求刑しました。弁護側は、被告人らが捜査に協力したこと、さらに兄弟のうち1人は職場で替えのきかない立場にあること、もう1人は大学生であることを主張して、2人を収監しないよう求めました。
(※注:記事執筆後の7月26日に行われた審理では、240時間の奉仕活動という判決が下されました。)
侵害する者は告発される
いつもお伝えしていることですが、犯罪者に屈すれば相手を増長させるだけです。CoinVaultの例から分かるのは、一見正体不明のように思われるサイバー犯罪者も、刑罰を免れることはできないということです。とはいえ、3年後に正義の裁きが下されるのを待つよりも、あらかじめ身を守る策を講じる方が賢明というものです。毎度ながら、基本事項を改めて確認しておきましょう。
- 怪しいリンクをクリックしたり、不審なメールの添付ファイルを開いたりしないようにしましょう。
- 重要なファイルは定期的にバックアップをとりましょう。
- 信頼できるセキュリティ製品を使用しましょう。