検索
コラム

新たな脅威が出現、あの業界を狙う“ちょっと珍しい”ランサムウェアって?:566th Lap

ランサムウェアといえば、2020年6月にホンダの社内システムが標的になった事件が記憶に新しい。そんな中、特定業種を狙った珍しい仕様を持ったランサムウェアが出現したという。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 ファイルを勝手に暗号化して人質とし、解除のための身代金を要求する「ランサムウェア」が、より卑劣かつ巧妙な手口を用いるようになり、各所に大きな被害をもたらしている。2020年6月9日には、ホンダの社内システムが世界規模でランサムウェアの被害に遭い、事業がストップする事態となった。ランサムウェア被害のニュースは枚挙に暇がない。そんな中、ちょっと特殊なランサムウェアが新たに登場したと話題になっている。従来のランサムウェアと比較して珍しい仕様で、特定の業種が狙われやすいという。一体、どういうものなのだろうか-――?

 今回発見されたランサムウェアは「Tycoon」と呼ばれる。2020年6月4日にBlackBerryのセキュリティ研究グループとKPMGのセキュリティアナリストによって発見され、BlackBerryのブログにて報告された。名前の由来はコード内のフォルダ名による。

 Tycoonが狙うのは主として教育業界やソフトウェア業界だという。Tycoonについて報告した研究者たちは「ちょっと珍しいランサムウェア」として注目している。

 なぜなら、TycoonはJavaで記述されたランサムウェアだからだ。研究チームは「Javaで作られたランサムウェアは初見だ」としている。TycoonはJavaイメージファイル「JIMAGE」形式にコンパイルされている「トロイの木馬」形式のマルウェアで、対象とするOSは、Java環境が整った「Windows」と「Linux」だ。Javaイメージファイルをスキャンするセキュリティ対策ソフトはほとんどなく、発見されにくい。

 そもそも、JIMAGEを展開して実行するためには「Java Runtime Environment」(JRE)が必要だ。稼働する環境は限定されているため、その環境が整っている教育業界やソフトウェア業界がターゲットとなっている。

 研究チームの報告によると、被害が発覚したケースでは、悪意のあるハッカーがリモートデスクトップサーバを経由して教育機関のネットワークに侵入、Tycoonを送り込んだという。

 Tycoonの挙動はこうだ。被害者のマシンでTycoonが展開、実行されると、Tycoonはアプリやサービスのデバッグに使う「Image File Execution Options(IFEO)」を利用して被害者の端末に常駐、バックドアを開く。さらに「ProcessHacker」と呼ばれるツールでマルウェア対策を無効にして潜伏する。

 その後、悪意のあるハッカーはネットワーク外部からTycoonを実行し、ネットワーク上のファイルサーバのファイルを暗号化してしまう。暗号化されたファイルは「redrum」「grinch」「thanos」といった拡張子に変更され、ランサムウェアの定石通り「復号キーが欲しければビットコインで身代金をよこせ」となるのだ。

 明示されていないが、実際に身代金が払われたケースもあるという。研究チームによれば、初期のTycoonは暗号化キーが1パターンしかなく、引き換えに得た暗号化キーが複数の被害者に適用できたが、残念ながら既に暗号化キーは変更されてしまっている。Tycoonの被害に遭った場合、ファイルのバックアップがなければ“詰んだ”状態になることは必至のようだ。

 対策として、リモートデスクトップが常時利用可能で、JREもインストールされているような教育関連、ソフトウェア開発関連の企業はまずはリモートデスクトップのポートをデフォルトから変更しておくべきと研究チームは呼びかけている。


上司X

上司X: Javaで記述されたランサムウェアが登場して、猛威を振るいそうという話だよ。


ブラックピット

ブラックピット: わざわざJavaで書かれた「Tycoon」ですか。いろいろ考えますねえ。


上司X

上司X: 教育関係やソフト開発企業がファイルを人質に取られたら大変なことになりそうだな。


ブラックピット

ブラックピット: ですね。しかし暗号化後の拡張子がえげつないなあ……。


上司X

上司X: どういうことだ?


ブラックピット

ブラックピット: 「.grinch」はグリンチ、クリスマスを盗むっていう定番キャラです。「.thanos」はサノス、マーベルシリーズのスーパーヴィランという激しい悪役キャラです。「.redrum」は、スティーヴン・キング原作の小説『シャイニング』に出てくる重要キーワード、反対に読むと……ってヤツです。超定番ホラー映画作品でもありますよね。


上司X

上司X: ああ、ジャック・ニコルソンのアレか……。キミ、妙な知識を披露するねぇ。わざわざそういう拡張子を使うってことは、被害者の意識を逆なでする印象を与えるな。


ブラックピット

ブラックピット: こっちには悪意があるぞ、と見せつけるためにわざわざこういうことをするのでしょう。許せないですね!


上司X

上司X: うんうん。キミの怒りももっともだ。Tycoonの特殊な仕様は特定の業界を効率よく狙う目的があるんだろうから、逆に考えれば不特定の企業を狙う汎用(はんよう)的なランサムウェアよりは対策がしやすいともいえる。対策が進み、被害が拡大しないことを祈ろうじゃないか。


川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る