ランサムウェア脅威の歴史:過去、現在、そして未来

ランサムウェアの歴史を探求し、どのように変化を遂げてきたのか見ていきます。 共有

2017年5月の大規模なWannaCryマルウェア襲撃は世界中の注目を集め、ランサムウェアというキーワードが大衆化しました。

サイバーセキュリティーや技術者の間では、ランサムウェアは既に長いこと話題になっていました。実は、過去10年間、ランサムウェアは最も頻繁で蔓延しているサイバー脅威なのです。米国政府の統計によると2005年以来、ランサムウェアの件数はオンライン上の情報違反を上回っているそうです。

ランサムウェア攻撃が一般的に知られていないのは通常、攻撃が世界規模ではないからかもしれません。WannaCryは事態を一変させました。世界中30万以上のコンピュータに影響を及ぼし、英国の保険医療制度(NHS)など主要的な組織に悪影響を及ぼしたことで話題になりました。

WannaCryが世界中の注目を集めるような大規模攻撃をする能力があるなら、歴史的な変化が訪れるはずです。ランサムウェアを拡散させるワームが巧妙化し、それを送信する方法が効率よくなるにつれ、ますます大規模な攻撃の確率が増します

この記事ではランサムウェアの歴史を振り返り、21世紀最大のサイバーセキュリティー脅威になるに及んだ経緯を探ります。主な事件、拡散方法、最近続発している世界的な攻撃が可能になった技術革新を紹介した後、将来の動向を予想してみます。

ランサムウェアとは

まず初めに、キーワードを定義してみましょう。ランサムウェアは一種のマルウェアで、利益を得ることに特化しています。ハッキング攻撃に使われるウイルスとは異なり、ランサムウェアはデータを盗むためにコンピュータやITシステムにアクセスするために設計されているのではありません。偽のアンチウイルスソフトの「スケアウェア」やフィッシング詐欺などに見られるような犠牲者から金銭を騙し取るというのでもありません。

残念ながら、ランサムウェアの影響は現実に悪影響を及ぼすものなのです。

ランサムウェアはコンピュータシステムの動作を妨害し、使用できなくします。犯人は管理人に脅迫文を送り、システムを元に戻す代わりに金銭を要求します。

ほとんどのランサムウェアは2種類に分けられます。1種類目のランサムウェアはCPUをフリーズさせたり、利用者認証システムを乗っ取ったりして端末へのアクセスを不可能にします。2種類目は通常、クリプトランサムウェアと呼ばれ、記憶装置とそのコンテンツを暗号化し、フォルダやファイルを開いたり、プログラムを使用できなくします。

ほとんどの場合、システムにランサムウェアが入ると同時に脅迫メッセージが送信されます。ロックアウトされたシステムの画面上に表示されたり、クリプト攻撃の場合、被害者にメールやインスタントメッセージで送信されたりします。

ランサムウェアの前史

AIDS Trojan(トロイの木馬)

初の有名なランサムウェアが誕生したのは、私たちが知っているオンラインの脅威が生まれた20年近く前のことです。1989年にハーバード大学のジョセフLポップ教授が世界保健機関のエイズに関する協議に出席していた時のことです。出席に向けて参加者に配布するために「エイズに関する情報―入門フロッピーディスク」というディスクを2万部作成したのです。

フロッピーディスクには実はコンピュータウィルスが入っていて、ディスクに入っているコンテンツを利用した後、参加者のコンピュータに潜む仕掛けになっていました。90回パソコンを起動した後、ウィルスが作動しファイルを暗号化したり、ディレクトリを隠したりしました。画面メッセージに、パナマの私書箱宛てに189ドル送金したらシステムが元に戻ると表示されました。

これは最先端の戦法でした。その後、16年間ランサムウェアは誰にも使われませんでした。ポップ教授は逮捕されましたが、精神疾患のため裁判には至りませんでした。

2005年: Year Zero(零年)

次のランサムウェアが現れたときにはジョセフLポップ教授は忘れ去られ、インターネットによってコンピュータの世界は大きく変化していました。メリットの多いインターネットですが、サイバー犯罪者にとって様々なマルウェアを拡散するのには最高でした。ポップ教授に使われた暗号化方法より強力な暗号化方法も開発されました。

GPCoder(GPコーダー)

オンラインで流通した初期のランサムウェアの一つにGPコーダー・トロイの木馬が例に挙げられます。2005年に発見され、GPコーダーはウィンドウズシステムに感染し、様々なファイル拡張子をターゲットにしました。発見されると、ファイルが暗号化された形式で保存され、元のファイルは削除されてしまいました。暗号化されたファイルは解読不能で強力なRSA-1024暗号化のため、ロック解除するのは不可能に近かったのです。ユーザーのホーム画面に表示されたメッセージにはデスクトップに現れたテキストファイルを開くよう指示しました。このファイルには感染したファイルのロックを解除するために金銭を支払う方法が記載されていました。

Archievus(アーカイバス)

GPコーダーが発見された同年、強力な1024ビットRSA暗号化を使用したもう一つのトロイの木馬が登場しました。実行可能ファイルとファイル拡張子をターゲットにするのではなく、アーカイバスは被害者のマイドキュメントに保存されていたものすべてを暗号化したのです。理論上、被害者はコンピュータやその他のフォルダに保存されていたファイルは利用可能でした。しかし大半の人は仕事に関するファイルや重要なファイルをマイドキュメントに保存していたので、深刻な影響を与えました。

アーカイバスを取り除くには30桁のパスワードを購入するためにウェブサイトにアクセスするよう指示されました。そのような長いパスワードを当てることなどできないでしょう。

2009~2012年:Cashing In(キャッシング・イン)

初期のオンラインランサムウェアがサイバー犯罪界で弾みがつくのには時間がかかりました。GPコーダーやアーカイバスなどのトロイの木馬が復帰する確率が比較的低かった理由は、アンチウィルスソフトウェアで簡単に削除できたので、収入につながる期間が短かったからです

大半のサイバー犯罪者はハッキング、フィッシング、そして偽のアンチウィルス詐欺でだます方法を好んで使用していました。

変化の兆候が見られたのは2009年のことです。その年、Vundoという既知のスケアウェアウィルスがランサムウェアに戦法を変えたのです。過去にVundoはコンピュータシステムに感染し自身のセキュリティー警告を鳴らすことでユーザーを偽の解決方法へ導きました。しかし2009年に専門家はVundoが被害者のコンピュータのファイルを暗号化し、ロック解除するための本物の方法を売っていたことに気づいたのです。

ハッカーはランサムウェアで金儲けができるとこの時点で気づいたのでしょう。匿名のオンライン決済プラットホームが繁茂していた時代だったため、脅迫が多数の人に同時に送ることが簡単になっていました。さらに、ランサムウェアの巧妙性も進化していました。

2011年までに、このような事件の数は爆発的に増加していました。2011年の第1四半期のには6万件の新しいランサムウェア攻撃が発見されていたのが、2012年の第1四半期までには20万件に上っていました。シマンテックの研究者によると2012年末までにランサムウェアの闇市場は500万ドルに相当すると推定されているそうです

トロイの木馬 ウインロック

2011年に新しいランサムウェアが登場しました。ウインロック・トロイの木馬は、初の広範囲に影響を及ぼした「ロッカー」ランサムウェアの例として知られるようになりました。被害者の端末のファイルを暗号化するのではなく、端末自体にログインすること自体を不可能にしたのです。

スケアウェアから派生して、ウインロックは本物の商品を真似るという新しい戦法を編み出しました。ウィンドウズのシステムに感染し、製品ライセンス認証システムをコピーし、アクティベーションキーを購入するまでロックするという仕組みでした。認証画面にはウィンドウズのアカウントが詐欺にあったため、再認証が必要だと表示され、問題を解決するために国際電話番号に問い合わせるように促したのです。フリーダイヤルに扮して、実は後で高額な通信費を請求される仕組みだったのです。通信費が犯罪者の収入だったのでしょう。

レベトンと「警察」ランサムウェア

偽ソフトウェア商品で被害者に会費を支払わせる傾向の延長で、「警察」ランサムウェアが登場しました。この攻撃では、マルウェアは感染したシステムに法執行機関や州当局を名乗り、端末が犯罪行為に関与しているというメッセージを表示しました。わいろや罰金が支払われるまで端末にロックが掛けられました。

このような例はポルノサイトやファイル共有システムなど、不法な用途に使われやすいプラットホームから流通しました。被害者を怖がらせたり恥をかかせたりして、起訴の脅迫が本物かよく考える前に金の支払いをさせるという戦法でした。

攻撃をさらにリアルで険悪にするため、警察ランサムウェアは被害者の地域に合った表示をしたり、IPアドレスを表示したり、自身のウェブカメラの映像を表示したりすることで監視されているような演出をしました。

最も有名な警察ランサムウェアはレベトンと呼ばれています。ヨーロッパが発端で、米国にも流通し、被害者はFBI連邦捜査局に監視されていると言われ、端末のロックを解除するため、200ドルの罰金を支払うように指示されました。マネーパックやUkashなどのプリペイド電子トークンサービスからの支払いでした。この方法はUrausyやKovterなどの警察ランサムウェアでも利用されました。

2013 – 2015年: 暗号化の復活

2013年下四半期、サイバーセキュリティーの新しい時代の幕開けとなるような新種のクリプトランサムウェアが登場しました。クリプトロッカーは複数の面でランサムウェアを進化させたのです。第一に、スケアウェアや警察ランサムウェアのようなごまかしや詐欺という方法は使いませんでした。クリプトロッカーは、被害者のすべてのファイルが暗号化され3日以内に金を払わないとすべて消去するという単刀直入なメッセージを表示しました。第二に、クリプトロッカーは10年前に初めて登場したクリプトウェアで使用された暗号化方法よりはるかに強力な暗号化方法を使いこなせることを知らしめたのです。隠されたTorネットワークのC2サーバーを使い、クリプトロッカーは2048ビットRSAパブリック・プライベートのキー暗号化を生み出し、特定の拡張子のあるファイルに感染することに成功したのです。パブリックキーを使って解読しようすると、Torネットワークに隠されているため困難で、プログラマーが所有するプライベートキーは非常に強力なのです。

第三に、クリプトロッカーは流通の方法にも革命をもたらしました。初期段階ではゲームオーバーゼウスというボットネット(マルウェアをインターネット経由で拡散するための感染されたゾンビコンピュータ群)で流通しました。したがってクリプトロッカーは感染したウェブサイト経由でマルウェアを拡散した初の事例でした。クリプトロッカーはスピアフィッシングという、顧客からの苦情に扮して企業に送信されたメールの添付ファイルからも拡散されました。

クリプトロッカーは大成功を収めたため、以後、主要なランサムウェア攻撃は以上の同じような特徴を持つようになりました。感染したシステムを解読するために300ドルを要求し、被害総額は300万ドルに上ると推定されています。

オニオンとビットコイン

2014年にゲームオーバーゼウスボットネットが解消されてからはクリプトロッカーは活動力が弱まっていました。活動は多くの模倣作品にバトンタッチされていたのです。中でもクリプトウォールは突出していて、同じTorネットワークで作られたRSAパブリック・プライベート・キー暗号化を適用し、フィッシング詐欺で拡散されていました。

オニオンルーターの通称名はTorで、ランサムウェアの開発と流通に大きな役割を果たしています。インターネット通信を複雑な国際的なサーバーネットワークを介していて、それが玉ねぎの皮のようであることから名づけられました。Torはインターネット上での活動のプライバシーを守るために開発された匿名プロジェクトです。残念ながら法を逃れたいサイバー犯罪者に好まれているため、ランサムウェアの歴史と切っても切れない関係があるのです。

クリプトウォールはランサムウェア攻撃とビットコインとの関係も明らかにしています。2014年までに、この暗号通貨は最も好まれている支払い方法です。前払いの電子クレジットは匿名ですが、不正資金浄化せずに現金化することが困難です。それに対してビットコインは通常の貨幣のように直接支払いに使用できるのです。

2015年までにクリプトウォールだけでも3億2500万ドル相当の被害を及ぼしたと言われています

アンドロイド攻撃

ランサムウェアの歴史でのもう一つの重要ポイントは携帯端末をターゲットにしたバージョンの開発です。これは当初はオープンソースのアンドロイドコードを利用してアンドロイド端末のみにターゲットを絞られていました。

初の例は2014年に登場し、警察ウェアの形式でした。サイペンは偽のAdobe Flashのアップデートメッセージから端末を感染させ、画面をロックし200ドルを要求する偽のFBIメッセージを表示しました。コラーは似たようなウイルスで、自動的に流通経路を作る初のランサムウェアワームとして有名です。コラーは感染した端末の連絡先一覧に自動でワームをダウンロードするリンクを送信します。

名前はともかく、シンプルロッカーは携帯端末用の初期のクリプトランサムウェアでほとんどの場合、ロックアウト攻撃形式をとります。アンドロイドのランサムウェアで到来したもう一つの革新はDIYツールキットです。サイバー犯罪者になろうとしている人が購入し、自身で設定する仕掛けです。初期の例はPletorトロイの木馬を基にしたものがネット上で5000ドルで売られました。

2016年:脅威の進化

2016年はランサムウェアの歴史的な一年だったと言えるでしょう。新しい拡散方法、新しい端末、新しい種類のマルウェアなどの到来が重なって国際的で大規模の攻撃につながりました。

クリプトウォールの進化

多くのランサムウェアは一時的に脅威となりますが、時間の経過とともに衰退していきます。しかしクリプトウォールの脅威は長期間付きまといました。4つの異なるリリースで進化を続け、クリプトウォールは他のランサムウェアに模倣されるような技法を編み出しました。例えば、複製されたレジストリキーエントリを使用して、再起動するたびにマルウェアが読み込まれるようにすることです。マルウェアがすぐに作動されるとは限らず、暗号化キーを含む遠隔サーバーに接続されるまで待つ大変賢い仕組みになっています。再起動時に自動ロードすることで、このような事態になる可能性を高めます。

ロッキー

フィッシング形式で拡散するロッキーはWannaCryと同じような急激で広範囲にわたる流通を遂げました。ピーク期には一日で10万ものシステムを新しく感染し、アンドロイドツールキットで最初に使用されたフランチャイズ制を使ってその拡散に参加するよう他の犯罪者に促しました。重要な公共機関はシステムをすぐに復帰させたいため脅迫に従い金銭をすぐに支払うので、医療従事者をターゲットにしたWannaCry攻撃を予示しました。

複数のプラットホーム

2016年はマッキントッシュシステムを狙った初めてのランサムウェアスクリプトが到来した年でもありました。ケレンジャーはタイムマシンバックアップや友情のマッキントッシュファイルを暗号化したことで、問題が起きた場合に全世代に戻ることで解決したマッキントッシュの能力に対抗したため、特に悪質でした。

ケレンジャーの後、複数のオペレーティングシステムを感染できる初のランサムウェアが登場しました。Javascriptでプログラミングされたランサム32はウィンドウズ、マッキントッシュ、リナックスで作動する端末に影響を及ぼす能力があったのです。

既知の脅威の脆弱性

いわゆるエクスプロイトキットは普及しているソフトウェアシルテムの既知の脆弱性をターゲットにしてウイルスを埋め込むマルウェア拡散プロトコルです。アングラーキットはその一例で、早くて2015年にもランサムウェア攻撃に使用されていました。2016年にはそれが進化し、Adobe Flashとマイクロソフトシルバーライトの脆弱性を狙った高レベルランサムウェアウイルスが多くあり、その一つがクリプトウォール4.0でした。

クリプトワーム

コラーウイルスの革新に引き続き、2016年にクリプトワームが主流のランサムウェアの一員に加わりました。マイクロソフトに報告されたZクリプターワームがその一例です。フィッシング攻撃から始まったZクリプターは自己複製と自動作動によってネットワークされた端末から自動的に広まりました。

2017年:ランサムウェアが壊れた年

複雑さがはるかに増し、ランサムウェア攻撃のスケールが急激に拡大する中、多くのサイバーセキュリティーアナリストは史上最大のハッキングと情報漏洩が起きるのは時間の問題だと懸念してきました。WannaCryによってその懸念が実現したのです。世界中で話題になりましたが、今年コンピュータのユーザーを脅かすのはWannaCryだけではありません。

WannaCry

2017年5月12日、WannaCryとして有名になるランサムウェアワームがスペインを襲いました。数時間以内に何か国にも渡って数百ものコンピュータに広まりました。数日後、その総数は25万以上までに上り、WannaCryは史上最大のランサムウェア攻撃となり、世界中がその脅威に注目しました。

WannaCryはワナクリプトの略称で、クリプトウェアであることを示します。これはクリプトワームで自動的に複製して拡散することができるのです。

WannaCryが効果的で一般人に衝撃を与えた理由は拡散の仕方にありました。フィッシング詐欺も安全性の低下したボットネットサイトからダウンロードすることもありませんでした。WannaCryは既知のコンピュータの脆弱性をターゲットにするというランサムウェアの新時代の幕開けとなったのです。セキュリティーの脆弱性があると分かっていた古いバージョンのウィンドウズサーバーを使っているコンピュータのネットワークを渡り歩き、感染させるようにプログラミングされていたのです。ネットワークのなかの一台に感染させると同じ脆弱性のあるコンピュータを見つけ出し感染させるという仕組みでした。

このようにしてWannaCryは急速に拡大しました。銀行、交通機関、大学、公共医療機関(例えばイギリスの国民健康保健制度)などの大規模な組織には特に強力に効きました。

多くの人に衝撃を与えたのは米国国家安全保障局(NSA)に数年前に指摘されたウィンドウズの脆弱性を利用したからです。しかしNSAは世界に警告を発信せず、脆弱性をサイバー兵器として開発しようとしたのでした。実質的にはWannaCryは国家暗線保障局によって開発されたシステムを利用して作られたものだったのです。

Petya

もう一つのランサムウェア攻撃により、世界中で何百ものコンピュータがダウンしました。Petyaと呼ばれ、この攻撃の恐るべき点はWannaCryと同じウィンドウズの脆弱性を利用したことです。NSAの計画していたサイバー兵器がそれほど強力だったか知らしめたのです。さらに、WannaCry攻撃の発端で脆弱性を乗り越える手段が流通したにもかかわらず、ユーザーに最新のセキュリティーアップデートをインストールしてもらうことの難しさが明らかになりました。

リーカーロッカー

ランサムウェアがいかに変わりやすいかが見える中、最新の大規模攻撃の一つはスケアウェアや脅迫が使われていた時代に遡ったものに手を加えた戦法です。アンドロイド端末を狙い、リーカーロッカーは連絡先リストのすべての人に端末のコンテンツをばらすと脅迫したのです。電話に恥ずかしいことや重要なことが保存されていた場合、支払いに応じないと友達や同僚、親戚などみんなに秘密がばれてしまうことになったのです。

ランサムウェアの未来

ランサムウェアから多額の利益を得られる可能性があるため、これからもこの話題は絶えないと考えていいと思います。WannaCryの自動複製技術とシステムの脆弱性を狙った戦法は短期的にはすべての攻撃の先例となったことでしょう。しかしランサムウェアの開発者は将来を見据えて新しい感染・拡散する方法や金儲けする方法を考えているはずです。

では何が予想されているのでしょう?

大きな懸念の一つはコンピュータやスマートホン以外をターゲットにし始めることです。モノのインターネットが普及するにつれ、日々使用するものの多くがデジタル化しインターネットに繋がれています。そのため、サイバー犯罪者には大きなチャンスとなります。ランサムウェアを使って自動車から締め出したり、家のエアコンを以上に冷やして金銭を要求したりできる可能性があるからです。このようにしてランサムウェアは私たちの生活に直接影響を及ぼす可能性は高まる一方です。

もう一つの可能性はランサムウェアが個人の端末とユーザーから焦点をそらすことです。一つのコンピュータに保存されたファイルを狙うのではなく、SQLインジェクションを使ってネットワークサーバーにあるデータベースを暗号化するかもしれないのです。その結果は絶望的かもしれません。一発で国際企業のインフラが破壊されたり、インターネットサービスがダウンしたりして数十万人規模で影響が及ぶかもしれないのです。

いずれにしろ、今後もランサムウェアという重要なサイバー脅威の準備を整える必要があります。メールを開いたり、ウェブサイトを利用したり、するときに気を付け、セキュリティーアップデートをこまめにしないと、ランサムウェアの被害にあう可能性があります。

VPNはランサムウェア攻撃に対抗できるのでしょうか?

VPNはマルウェア攻撃から身を守ることはできませんが、あなたのシステムの安全性を向上することは可能です。VPNを使うことには多くのメリットがあります。

  • VPNを使うとき、あなたのIPアドレスは隠されていてウェブを匿名で使用できます。それにより、マルウェアデベロッパーに狙われにくくなります。彼らは通常、脆弱なユーザーを狙うからです。
  • VPNを介してデータを共有したりアクセスしたりした際、そのデータは暗号化され、ほとんどがマルウェア開発者の手に入りません。
  • 信頼性の高いVPNサービスは、疑わしいURLをブラックリストに登録します。

以上のような理由のため、VPNを使うことでマルウェアやランサムウェアから身を守ることが可能です。VPNサービスの選択肢は多くあります。ご利用になるVPNプロバイダが信用できるもので、オンラインセキュリティーの面で経験があることを確認してください。

VPNをお探しでしたら信用できるユーザーが最もお勧めするVPNをご覧ください。

これは役に立ちましたか?よろしければシェアしてください!
Facebookでシェアする
0
これをツイートする
0
Googleがあなたのことを十分に知らないと考えるなら共有してください
0