Torを利用するランサムウェア、かのCryptolockerをしのぐか

2014年7月31日

進化するサイバー犯罪で最近話題になっているのが、暗号化ランサムウェアです。この種のマルウェアは、ユーザーから身を隠すことはありません。その代わり、強力な暗号技術を使ってコンピューター内のドキュメントをロックし、暗号解除と引き換えに身代金を要求します。この系統のマルウェアのうち群を抜いて悪名高いのが、CryptoLockerとCryptoWallです。このやり口で利益が出ることが確認できた今、より強力で効率的な暗号化手法を用いた新手のトロイの木馬が続々登場しています。特に注意を促したいのが、「Onion」(別名「CTB-Locker」)というランサムウェアです。これは、通信を匿名化するTOR(The Onion Router)ネットワークとビットコインを組み合わせたマルウェアで、犯罪者や資金源、被害者のファイルの暗号鍵を警察から見つかりにくくするのが特徴です。

ransomeware

TORを使うことで、犯罪活動は追跡しづらくなり、マルウェアの管理サーバーも差し押さえられにくくなります。また、匿名化された仮想通貨のビットコインを唯一の支払い方法とすることで、通貨の追跡も難しくなります。これは、一般の人々にとってどのような意味を持つのでしょうか。まず、このマルウェアは、おそらく長期にわたって利用されるでしょう。また、このマルウェアは闇組織で売買されており、世界中の犯罪者から注目を集めています。そうしたところから、ランサムウェアにとって利益が出る「市場」と見込まれたその他地域、特に米国や英国などへの拡大が予想されます。

Onionは技術的に高度なマルウェアで、感染先でドキュメントすべてが暗号化されるまで、身を潜めて活動します。暗号化が完了すると、TOR経由で管理サーバーに暗号鍵関連のデータをアップロードし、72時間のカウントダウン警告を表示して、復号鍵を渡す代わりに0.2~0.5ビットコイン(120~350米ドル)を支払えと要求します。72時間以内に支払わなければ、暗号鍵(および暗号化されたすべてのファイル)が戻ってくることはないでしょう。ビットコインの購入方法や、別のコンピューターから鍵を購入するための手順などは、犯罪者側が親切にも教えてくれます。

Kaspersky Labのシニアマルウェアアナリストであるフェードア・シニーツィン(Fedor Sinitsyn)は、次のように述べています。「匿名化されたTORネットワークは、コマンドアンドコントロールサーバーの存在を隠し、サイバー犯罪者を見つかりにくくします。また、この型破りなネットワークを使っていれば、たとえトロイの木馬とサーバーとの通信が傍受できたとしても、取得したファイルを復号化することは不可能です。そんなわけで実に手強い脅威であり、現在の暗号化ツールとしては最も進んだもののひとつと言ってよいでしょう」。

マルウェアの配布には、Webページを利用した典型的な手口が用いられています。Webページには、訪問者のコンピューターにトロイの木馬をダウンロードさせるエクスプロイトキットが仕込まれており、トロイの木馬はOnionの暗号化ツールをダウンロードします。詳しい解説は、Securelist.comを参照してください。

Onionなどの暗号化ランサムウェアを回避する方法

感染しないためには、重要なソフトウェアのコンポーネントを定期的に更新することです。OSはもちろんのこと、ブラウザーとブラウザーのアドオン(メディアプレイヤー、Java、PDFリーダーなど)も、すべてです。また、強力なインターネットセキュリティ製品を導入することもお勧めします。

ランサムウェアによる攻撃に限らず、盗難や洪水など何かしらの被害に巻き込まれてもデータが復旧できるようにするためにも、取り外し可能なメディアへ定期的にバックアップして安全に保管するのをお忘れなく。