金銭目的で巧妙に仕掛けるサイバー攻撃
ランサムウェアとはコンピュータウイルスの一種で、Ransom(身代金)とSoftware(ソフトウェア)を掛け合わせた言葉です。文字通り身代金を要求することを目的としたウイルスで、身代金要求型ウイルスとも呼ばれます。このウイルスに感染するとPC内のデータが「人質」にとられて暗号化され利用できなくなります。また、端末が操作不能に陥ることもあります。PC内のデータや文書を復元したければ仮想通貨で身代金を支払うよう要求してくるのが一般的です。急速に拡大してきたランサムウェア被害は世界中で大きく報道されることもあり、私たちの身近な脅威となっています。今回は猛威をふるってきたランサムウェアの感染経路や事例の他、こうした金銭目的の攻撃者が新たに狙う手口など最新の動向を交えながら解説していきたいと思います。
ランサムウェアの種類と侵入経路
引用:Kaspersky Lab's Global Research & Analysis Team
- 暗号化ランサムウェア(クリプター)
暗号化型ランサムウェアはパソコンなどのファイルをすべて暗号化して使えなくしてしまいます。侵入経路としてはシステム管理ツール「PsExec」によって作成および実行される例が報告されています。「SOREBRECT」や「Bad Rabbit」、また最近では「LockerGoga」といったランサムウェアがいずれも名前を変更したPsExecによって実行されています。PsExecの使用には認証情報が必要なため、攻撃者はすでにネットワークへの侵入に成功しており、情報探索活動によって事前に認証情報を入手していた可能性があります。認証情報を窃取する方法として、総当たり攻撃、スピアフィッシング、またはマルウェアを利用した攻撃などが考えられます。
2019年3月19日、ノルウェイのアルミニウム製造企業「Norsk Hydro」が暗号化型ランサムウェア「LockerGoga」による攻撃を受けました。同社は、Facebookページへの投稿の中で、「製造システムへの接続中断の影響でいくつかの工場で一時的な操業停止があった」と述べています。操業を止めることができないその他の工場では、手動操作に切り替える必要があったとのことです。
今年報じられたこちらの事例もPsExecによって感染した暗号化型ランサムウェア「LockerGoga」の被害です。感染によって操業の一時停止に追い込まれる等の被害が出ています。
- 画面ロック型ランサムウェア(ブロッカー)
画面ロック型のランサムウェアはパソコンなどの画面をロックして操作を出来なくしてしまいます。このようなランサムウェアの侵入経路として最も主流なのはメールからの感染です。2017年のランサムウェアレポートによると、調査対象の7割以上がメールを感染経路としてランサムウェアの被害を受けたと報告しています。例えばメールに添付されているファイルを開いてしまったり、偽サイトのリンクが張られたフィッシングメールのリンク先にアクセスしてしまったりして感染してしまいます。
近年増えている手口として報告されているのが、ネット広告に脆弱性を悪用するスクリプトを埋め込んだ攻撃です。悪意ある広告は「マルバタイジング」と呼ばれ、最近では有名な大手サイトに表示されている広告の中にも紛れ込むなど、攻撃者に悪意を持って仕込まれたものもあり、不用意に広告のバナーをクリックすると感染する危険性があり厄介です。
- ワーム型ランサムウェア
最も猛威を振るったワーム型ウイルスとして有名なのが、2017年5月13日に出現した「WannaCry(ワナクライ)」です。WannaCry/Wcry(泣きたくなる)という、世界中で猛威をふるっている新種のランサムウェアは、Microsoft Windowsを標的とし、コンピュータの身代金として暗号通貨ビットコインを要求しました。WannaCryは暗号化型ランサムウェアの一種ですが、ワーム型のマルウェアは他のマルウェアと違って、自分で自分を拡散させる能力をもち、凄まじい増殖力と感染力を見せつけました。アメリカ・ホワイトハウスの発表では150か国の23万台以上のコンピュータに感染し、28言語で感染したとのことです。日本でも有名企業が感染しており、復旧まで時間がかかりました。
WannaCryの感染経路として利用されたのは、SMB1と呼ばれるネットワーク共有機能です。SMB1には悪意のある攻撃者が遠隔でコードを実行できる脆弱性があり、WannaCryはこの脆弱性を突くことでネットワーク経由の感染を可能としました。WannaCryはメールに添付されたファイルから感染するだけでなく、PCユーザーの操作がなくても感染を拡大させることが可能です。
次形態に進化する金銭搾取型マルウェア
しかし蔓延するランサムウェアも、攻撃者が効率よく身代金の取立てに成功するとは言えない状況となってきました。言われた通り制限時間内で仮想通貨を送金するのは手間な上、実際に支払っても犯人が復号のための鍵をきちんと渡してくれる保証もないため身代金を支払わない被害者も多かったためです。またアンチウイルスソフトやOSの機能の向上に伴い、そもそもランサムウェアに感染しづらくなってしまいました。画面ロック型ランサムウェアなどを対象に、カペルスキーといったセキュリティベンダーも無償でロックを解除する駆除ソフトを配布するなど防御や対策がどんどん進化しています。
そこで攻撃者は、今度は面倒なデータを「人質に取る」という手段をすっとばして、遠隔操作可能なマルウェアをマシンに感染させて、直接仮想通貨の発掘を行って自分たちに送金させようともくろみ始めました。このようなマルウェアは「マイニングマルウェア」と呼ばれています。
マイニングマルウェアとは
コンピュータ上でマイニングを行うことでアルトコインと呼ばれる仮想通貨を手に入れる事が可能です。ただしマイニングを行うにはCPUパワーなどかなりのコンピュータの処理能力が必要となります。マイニングマルウェアに感染すると気が付かないうちに自分のPCのリソースが第3者のマイニングに使用されてしまいます。
JavaScript型の場合、マイニングマルウェアを仕込んだウェブサイトに被害者を誘導するだけでマネタイズできます。また、更に素早くマネタイズしようとしたら、ウェブサイトに直接マイニングを行うマルウェアを仕込んで実行させるだけで可能です。これらのマルウェアは「CoinHive」やウェブ広告に仕込む「コインマイナー」といったものがあります。PCだけでなく、Androidにも感染する「HiddenMiner」というマルウェアも報告されています。
仮想通貨のマイニングは、すぐに影響がなく目立ちにくいことから、被害者はしばらく気づかないことがあります。金銭を得ようとする攻撃者は、低い導入コストと高い投資収益率、またその影響が可視化されにくく阻害的な性質のために従来のマルウェアよりも法的なリスクが低いことに魅力を感じています。そのため今後も脅威が蔓延していく可能性が指摘されています。
最後に
最後に紹介したようなマイニングマルウェアは、従来のランサムウェアやバンキング型トロイの木馬等のウイルスに比べるとあまり重要視されていません。しかし企業組織における大規模な仮想通貨の無断マイニングによって蓄積される影響は、演算リソースを消費し、ビジネスに係る重要な資産を鈍化させ、最悪リソース不足で機能停止に追い込まれる危険性もあります。ランサムウェアやマルウェアは常に進化し続けていて、防御する側も油断できません。日本でも7.6%の法人がランサムウェアによる被害を受けたというデータがあり、どの企業もセキュリティ体制を十全に整えることが重要です。
