155億円を荒稼ぎしたランサムウェアを拡散する“規律正しい”攻撃者って?:595th Lap
2021年も標的型攻撃による被害はとどまることを知らない。そんな中、日本円にして155億円もの被害を生んだランサムウェアが存在するという。しかし、その攻撃者は“規律正しい”というが、どういうことか?
ランサムウェアによる被害のニュースは日々聞こえてくる。攻撃者はなりふり構わず、あの手この手で攻撃を仕掛けてくるが、あるランサムウェアはとても“規律正しく”、しかも大胆に攻撃を仕掛けてくるという。被害額は1億5000万ドルを超え、被害は後を絶たない。規律正しい攻撃者が仕掛ける攻撃とはどういうものか……。
この件は、セキュリティ企業Advanced IntelligenceとHYASの2社による共同調査によって判明した。
Ryukは、誰もが容易に使えるランサムウェアというわけではない。調査チームによれば、Ryukを使っている組織は“規律正しい”企業の体裁をとっているという。開発者やテスター、オペレーターが役割分担してRyukを操作し、身代金を要求する。身代金の要求も「素っ気なくビジネスライク」であり、たとえ相手が身代金を支払えないと回答しても値引き交渉に応じるようなことはない。
Ryukがこれまで稼いできた額は、少なくとも1億5000万ドルを超えるという。日本円にすると155億円だ(2020年1月中旬時点)。しかしなぜそれほどの金額の被害が発生しているのだろうか。
Ryukは攻撃対象者を狙い、まずは「Emotet」「Zloader」「Qakbot」といったマルウェアの感染をもくろむ。感染に成功すると、それらによって対象者の情報を把握し、情報が大金になりそうだと判断すればRyukによる攻撃を開始する。クリティカルな情報、ファイル、データといったものを選別して身代金を要求する。
ランサムウェアの多くは暗号資産(仮想通貨)による身代金を要求する。暗号資産は銀行などの信用機関を介さずにやりとりできるため、サイバー犯罪者にとっては、代金として受け取るのに都合がよいという。
投資目的でもない限り、暗号資産をそのまま持っていたとしても意味はない。犯罪者の属する国や地域で利用できる現金に換金してこそ身代金犯罪が成立する。一般的に暗号資産は匿名性が高く受け渡しできるが、換金する際の本人確認はかなり厳しい。暗号資産取引所は数多くあるが、大金が換金されてしまえばすぐに身元が明らかとなるだろう。
Ryukを使ったサイバー犯罪では、暗号資産としてビットコインが使われる。ビットコインももちろん容易には換金できないものの、アジアに拠点のある暗号資産取引所(中国で開設された「Huobi」や「Binance」とされているが、両者とも現在は中国外で事業展開している)では本人確認がそれほど厳格でないため、犯罪者だとしても換金が可能だ。
なお、ときに身代金がリアルマネーで支払われることもあるが、そういう場合はブローカーを介していったんビットコインに変換されてRyukの組織に送られた後に回収されるため、結局そのシッポをつかむことは難しい。結局組織の本拠地がどこなのかは現時点でも分かっていない。
調査チームは、Ryukに対抗するには結局の所セキュリティ対策を強化するしかないと結論付けている。「Emotet」「Zloader」「Qakbot」の感染を防ぐため、「Microsoft Office」のマクロ機能を制限すること、社内へのリモートアクセスに2段階認証を必須にする他、IPアドレスによる、より強固な制限を設けることなどを提言している。
前述したようにRyukは“組織”として容赦ない対応をとってくる。つまりその毒牙にかかってしまったらもはや選択肢はほぼないといえる。だからこそ備えが必要となるのだ。心しておきたいものだ。
上司X: ランサムウェア「Ryuk」による犯罪の被害が判明してきた、という話だよ。
ブラックピット: しかし、そもそもの組織がよく分からんということですね。
上司X: 1億5000万ドルが以上もの身代金が受け渡されているのは確実のようだ。
ブラックピット: 「少なくとも」でしょう? おそらく公表していない被害者も少なからず存在するでしょうね。
上司X: うん、そりゃな。得意げだけどキミじゃなくてもそれぐらいは予想できる(笑)。
ブラックピット: それにしても、Ryukを使っている悪人どもが、もはやちゃんとした組織みたいな存在ってのには驚愕ですけど。
上司X: 組織どころかちゃんとした「企業」みたいなものかもしれないな。具体的にどういうふうに組織だっているのかは分からないものの、ちゃんと役割分担があって運営されているのは確実のようだ。
ブラックピット: 国境なんて関係なく悪人たちが集っているのかもしれませんね。いろんな意味で“デキる人材”が集まっていそうで、こうなんというか納得いきませんけどね。
上司X: その予想も当たっていそうだな。しかし組織犯罪だろうがなんだろうが、結局のところセキュリティ対策の強化しかRyuk対策ができないというのは歯がゆいところだ。が、歯がゆいとしてもそれが現在の正解なんだから仕方がない。組織のシッポをどうにかつかんで壊滅に追い込んでほしいものだが……。
ブラックピット(本名非公開)
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
上司X(本名なぜか非公開)
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.