パソコンに感染してデータを暗号化し、身代金を要求する「ランサムウエア」。2016年から急増している身代金の支払いプロセスを米Googleが追跡したところ、27億円を超える身代金がロシア人が運営するビットコイン取引所で換金されていたことが判明した。同取引所の運営者は2017年7月に逮捕されている。

 調査結果は2017年7月26日(米国時間)に、米ラスベガスで開催されたセキュリティイベント「Black Hat 2017」の講演で、Googleのセキュリティ研究者であるElie Bursztein氏、Kylie McRoberts氏、Luca Invernizzi氏の3人が発表した(写真1)。調査にはビットコイン調査会社の米Chainalysisや米カリフォルニア大学サンディエゴ校、米ニューヨーク大学も加わっている。

写真1●米Googleのセキュリティ研究者であるElie Bursztein氏
写真1●米Googleのセキュリティ研究者であるElie Bursztein氏
[画像のクリックで拡大表示]

 調査内容は二つ。おとりのパソコンにランサムウエアを感染させて、ランサムウエアの仕組みを解析した。それと同時に、身代金を実際にビットコインで支払うことで犯人が使用するビットコインの「ウォレット」を割り出し、犯人が使うウォレットの取り引き履歴を調査することで、ランサムウエアが“稼いだ”身代金の金額を算出した。ビットコインの取り引き履歴の追跡は、米Chainalysisが担当した。

 Googleの追跡によって、2525万ドル(日本円で約27億円)を超える身代金がビットコインによって支払われ、ビットコイン取引所で換金されていたことが分かった。ビットコインで身代金の支払いを要求するランサムウエアは2013年ごろから存在していたが、身代金の支払いが急増したのは2016年に入ってから。ランサムウエア「Locky」の登場がその契機となった(写真2)。

写真2●ランサムウエアが稼いだ身代金の推移
写真2●ランサムウエアが稼いだ身代金の推移
(出所:米Google)
[画像のクリックで拡大表示]

 これまでに稼いだ累計では、Lockyが780万ドル、「Cerber」が690万ドル、「CryptoLocker」が200万ドル、「CryptXXX」が190万ドルで、「1億円プレーヤー」が次々と生まれていた(写真3)。その一方で感染者が非常に多かった「WannaCry」の稼いだ身代金は、意外にも10万ドル以下だったとみられている。

写真3●ランサムウエアが稼いだ身代金の額
写真3●ランサムウエアが稼いだ身代金の額
(出所:米Google)
[画像のクリックで拡大表示]

 ランサムウエアに感染した犠牲者が身代金用にビットコインを購入した「ビットコイン取引所」としては、「LocalBitcoins.com」が最も多かった。2位は「Bithumb.com」、3位は「Coinbase.com」だった。

 一方でランサムウエアの犯人によるビットコインの換金には、ロシア人が運営するビットコイン取引所である「BTC-e」が使われるケースが圧倒的に多かった。今回の調査では、追跡できた身代金の実に95%がBTC-eで換金されていた。

取引所を運営するロシア人は逮捕

 講演前日の7月25日には、BTC-eの運営者であるロシア人のAlexander Vinnik氏がギリシャの保養地で、米国司法省や米FBI(連邦捜査局)と連携したギリシャ当局によって逮捕されている。米New York Timesの報道によれば、Vinnik氏は「Mt.Gox(マウントゴックス)」からビットコインが盗まれた2014年の事件にも関与しているという。