ランサムウェアの資金フローを追う

2016年から2017年にかけて、サイバー犯罪者たちはランサムウェア被害者から1,600万ドル以上を稼いでいました。

よく引用される孫子の一節に「敵を知り己を知れば百戦危うからず」という言葉があります。サイバーセキュリティにおいても、サイバー犯罪の手口と活動規模を理解することは、より効果的な対処につながります。しかし、ランサムウェアが関わる場合、特定の犯罪者グループがどの程度成功してどれほど利益を得ているのか、簡単には見積もれません。セキュリティ企業がこうした攻撃について知るのは、お客様の環境をモニタリングしている中であったり、お客様とやり取りする中であったりすることが多く、つまりは「うまくいかなかった」攻撃に関する情報がほとんどです。実際にランサムウェアの被害にあった企業は、そのことについて口を閉ざしがちです(特に、要求された身代金を払ってしまった場合は)。

結果として、成功した攻撃に関する信頼できるデータはわずかです。しかし、2020 Remote Chaos Communication Congress(RC3)にて、暗号資産(仮想通貨)の足跡に基づいてサイバー犯罪活動を最初から最後まで分析するという、興味深い方法について発表がなされました。

この調査研究は、2016年から2017年にかけてプリンストン大学、ニューヨーク大学、カリフォルニア大学サンディエゴ校のアナリストたちと、GoogleとChainalysisの社員が共同で取り組んだものです。それから数年が経った今でも、彼らの手法は有効です。

調査方法

犯罪者はお金で足が付くのを恐れているので、現代のサイバー犯罪では、規制されておらず匿名性が保証されている仮想通貨(特にBitcoin)が好んで使われます。しかも、仮想通貨は誰でも利用でき、仮想通貨でなされた取引は取り消しできません。

しかし、Bitcoinでの取引はすべて公になります。つまり、資金の流れを追跡し、サイバー犯罪の経済活動内の動きを垣間見ることは可能なのです。この調査チームが行ったのは、まさにそれでした。

一部の攻撃者は、被害者ごとに独自のBitcoinウォレットを作成します。そこで、調査チームはまず、身代金支払い用のウォレットを収集しました。ランサムウェア被害に遭った人が身代金要求メッセージのスクリーンショットをインターネット上に公開していることが多々あるので、このような公開情報からウォレットのアドレスを見つけ出したほか、テスト用環境でランサムウェアを実行し、表示された脅迫メッセージからウォレットのアドレスを入手しました。

次に行ったのは、仮想通貨がウォレットに送金された後の流れを追跡することです。そのために少額のBitcoinを支払わねばならない場合もありました。Bitcoinでは複数のウォレットから1つのウォレットに資金を送金する「co-spending」(英語)に対応しているため、サイバー犯罪者は、複数の被害者から支払われた身代金を統合することが可能です。ただし、このような操作を行うには、首謀者が複数ウォレットの鍵を持っている必要があります。したがって、このような操作を追跡することで被害者リストを拡大することができ、同時に、資金が集まってくる「中央の」ウォレットのアドレスを見つけることができます。

こうして収集したウォレットを通じて生じる資金の流れを2年間にわたって調査した結果、サイバー犯罪者たちの得ている利益の状況と資金ロンダリングに使われる手法をつかんだのでした。

主な発見

この調査で判明したのは、調査を実施した2年間で19,750人の被害者が、最もよく見られるタイプのランサムウェアを操るサイバー犯罪者たちに対し、およそ1,600万ドルを送金したということでした。この数字が完全に正しいとは言いがたいのは確かですが(調査チームが全取引を追跡したとは考えにくいため)、数年前のサイバー犯罪活動の規模を大まかにつかむことはできます。

興味深いことに、利益の約90%はLockyファミリーとCerberファミリーによるものでした(いずれも当時最も活発だったランサムウェアです)。大きな話題となったWannaCryによる利益は10万ドル程度でした(多くの専門家は、WannaCryをランサムウェアではなくワイパーに分類しています)。

2016〜2017年に最もまん延していたランサムウェアの作者たちがどれほどの利益を得たのかを見積もる。

2016〜2017年に最もまん延していたランサムウェアの作者たちがどれほどの利益を得たのかを見積もる。出典

何よりもさらに興味深いのは、サイバー犯罪者がどれほどの利益をどのように得たのかに関する調査です。調査チームは同じ方法で取引を分析し、オンラインのデジタル通貨取引サービスの既知のウォレットが関与する共同取引の中に、どのサイバー犯罪者のウォレットが現れてくるかを確認しました。もちろん、すべての資金がこの方法で追跡できるわけではありませんが、サイバー犯罪者が資金の引き出しによく使用しているのはBTC-e.comとBitMixer.ioであることが判明しました(当局は後に、違法資金の洗浄を行ったとして両取引所を閉鎖しました)。

残念ながら、この講演のフルバージョン動画はRC3のWebサイトに公開されていませんが、レポート全文はこちらから参照できます(英語)。

ランサムウェアの感染を防ぐには

ランサムウェアで多額の利益を得たことで、サイバー犯罪者はこれまで以上に大胆な行動をとるようになりました。あるときは慈善事業に投資するというロビン・フッド的なポーズを取って見せ、またあるときにはわざわざSNS広告を出して被害者にさらなる嫌がらせをしています(リンク先はいずれも英語)。調査チームはこの調査の中で、資金の流れを止め、新しいランサムウェアの収益性に関する疑念をサイバー犯罪者の心に植え付ける「つぼ」はどこにあるのか、突き止めようとしたのでした。

サイバー犯罪への対抗手段として本当に有効なのは、感染を防止することです。以下の基本的な対策の実施をお勧めします。

  • 相手を信じさせて行動を引き出そうとする手口を見分けることができるように、社員教育を行う。まれに例外もありますが、悪意あるドキュメントまたはリンクをメールやSMSで送りつけることでコンピューターへの感染を狙うのは、攻撃者の常套手段です。
  • ソフトウェアを定期的に更新する。特にOSの更新は忘れずに行ってください。ランサムウェアや、ランサムウェアを送り込むのに使われるマルウェアは、修正プログラムが適用されていない既知の脆弱性を利用して感染することが非常に多いのです。
  • ランサムウェア対策機能を備えたセキュリティソリューションを使用する。既知の脅威にも未知の脅威にも対応できるものが理想的です。
  • データは定期的にバックアップする。できれば、ローカルネットワークに常時接続していない別の媒体に保管しましょう。
ヒント