稼ぎたいが捕まりたくない―。ランサムウエアに群がるサイバー攻撃者の狙いは共通だ。身を隠しながら世界中から身代金を集めるインフラにランサムウエア攻撃者が選んだのが仮想通貨「ビットコイン」だ。
「世界の攻撃者はこぞってランサムウエアを担ぎ出した。亜種と被害は増えるばかりだ」。シマンテックの浜田氏はランサムウエアを取り巻く動向をこう話す。
悪質化も進む。日本年金機構やジェイティービーなどを攻撃した「標的型マルウエア」は、攻撃者が遠隔操作して情報を盗み出し、外部に送る機能を持っていた。浜田氏によればランサムウエアが遠隔操作の機能を備えて始めてきたという。身代金要求と情報漏洩の両面で攻撃してくる可能性が高まった。
ランサムウエアを攻撃者が用いる最大の理由は、これまでにない“使いやすさ”と“換金の安全性”を備えることだ。
感染後1分で脅迫開始
ランサムウエアを使う攻撃者はなるべく多くのPCを感染させる目的で、2種類の侵入経路を使う(図2)。請求書や配達票を装うメールに添付するか、正規のWebサイトを改ざんして、閲覧者が気づかないうちにPCにダウンロードさせて実行させるかだ。
攻撃者は二つを臨機応変に使い分ける。「今年6月まではWeb経由が多かったが、7月以降はスパムメール主体になった。より感染しやすい方を適宜選んでいるように思う」。リクルートテクノロジーズサイバーセキュリティコンサルティング部兼サイバーセキュリティエンジニアリング部の市田達也氏はこう証言する。市田氏はリクルートグループのCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)である「Recruit-CSIRT」の一員だ。
今夏に世界規模で同時発生したランサムウエア攻撃はメール添付型が中心だった。Recruit-CSIRTは、2016年7月13日からの10日間で同社グループ当ての約2000通のランサムウエア付き攻撃メールを観測。「ピーク時は1時間で約150通届いた」(市田氏)。
メールに添付してあったのは、ランサムウエア本体ではなく、Javaスクリプトのファイル。クリックすると攻撃者のサーバーから本体をダウンロードする。Recruit-CSIRTがこのスクリプトを検証用の隔離環境で実行すると、約1分でPCの画面に脅迫文が表示された。
企業にとって頭が痛いのは、PC内のデータだけでなく、ネットワーク上のファイルサーバーのデータまで暗号化するランサムウエアが増えていることだ。1台の感染で部署全体がまひする恐れがある。
暗号化されたデータを元に戻すための復号鍵は攻撃者の手元にある。ファイルが暗号化されたら自力での復元はほぼ不可能だ。
身代金の相場は個人の場合で5万円程度。感染者が法人と分かると値をつり上げ、数百万円を要求するケースもある。
