ランサムウェアとは
ランサムウェア(Ransomware)とは「身代金」とか「人質を身代金を受け取って解放する」という意味のランサム(Ransom)から来ています。ちなみに映画「Ransom」は1996年メル・ギブソン主演のものは「身代金」、1956年オリジナルは「誘拐」という邦題になっています。
最近はランサムウェアという言葉をよく聞きます。2017年5月にはWannaCryと呼ばれるランサムウェアが世界中で感染を広げ大騒ぎになったのも記憶に新しいでしょう。
直接的に金銭を脅し取るマルウェアは約30年の歴史があります。ランサムウェアに分類でき、かつ最初に世に広く知られているマルウェアは1989年のPC Cyborg Trojanです。この時はわりとあっさりと犯人を特定して逮捕できました。しかし近年になってなぜこれほどランサムウェアが脅威になってきたのか?
それには3つの要因があります。
その説明の前に、これからの話を進める上で必要な用語を確認しておきます。マルウェアは感染モデルにより、次の3つのタイプに分類されます。
- ウィルス:他のプログラムで使われるデータなどに寄生し独力では感染できない。
- ワーム:独立したプログラムで自分で感染先を探し自律的に感染を広げていく。
- トロイの木馬:自分自身では何もできないが偽装しユーザの錯誤により動かされることにより感染を広げる。
たとえば組織の中にメールに添付された実行ファイルをユーザの錯誤により動かしてしまい感染してしまうのはトロイの木馬型のマルウェアです。その感染し動作しているマルウェアがさらに組織内のネットワークを探索し脆弱性のあるコンピュータに自律的に感染を広げる時はワーム型マルウェアです。
感染の始まりはメールに添付されたトロイの木馬タイプのマルウェアだけではなく、マルウェア感染しているUSBメモリをPCにさしたり、感染したノートPCやスマートフォンをネットワークに接続したりするケースも十分にありえます。ありとあらゆる感染経路が考えられ、組織内で1台でも感染してしまえば、今度はワームとして自律的に組織内ネットワークにつながれたPCに入り込んでいき感染が広がることになります。
冒頭で取りあげたランサムウェアWannaCryは、メールなどを経由して組織内のPCに入ると次に組織内ネットワークをスキャンし脆弱性を持っているPCに感染を広げました。インターネットに接続しないPCだから安心だと思っていても組織内のネットワークにつながれていればマルウェアに感染する可能性は十分……いやほぼ確実に感染します。
ランサムウェアの3要素
ランサムウェアの広がりは、次の3つの要素が絡んでいます。
①暗号技術の向上と普及
そもそも、お金を払らって人質が返らなければ、身代金目的というのが成り立ちません。そこが「脅迫(Threaten)」ではなく「身代金(Ransom)」と呼ばれる理由です。
そのためにはファイルを効率よくかつ確実に暗号化し、さらにそれを復号しなければなりません。といっても特別な技術ではなく、SSLや暗号化ファイルシステムなど、今やあたりまえのように身の回りで使われている技術を使っているに過ぎません。公開鍵暗号の手法を使えば、復号する鍵を犯人側だけが持ち、身代金をもらったことを確認してファイルを戻すための鍵を被害者に送ることができます。基本的な暗号技術の知識があれば作成できるでしょう。
②ボット技術の向上
感染後PCを乗っ取り、外部のサーバと通信しPCを支配下に収めるタイプのものがボットです。PC内にある情報を盗み出したり、外部にDDoS攻撃をしたりするための攻撃ノードとなります。そのようなボットタイプのマルウェアは既に蔓延しています。
ボットには「外部からPCに侵入する」から始まり「外部にある司令塔であるC&Cサーバと通信し必要な追加モジュールをダウンロードする」「内部ネットワークでの感染を広げる」「盗んだ情報を外部サーバにアップロードする」といった多種多様な機能があります。
ボットネットに関しては既に(悪い意味で)安定した技術ですし、コードはアンダーグラウンドで入手できます。既存のボットネットの相乗りなどをすれば、新規に独自のボットネットを構築する必要もないのかもしれません。
③ビットコインの登場と普及
近年になって蔓延する最大の原因はビットコインのような匿名性の高い仮想通貨の登場です。取引は簡単で、犯人側はビットコインアドレスを示して、被害者がそのアドレスにビットコインを振り込むだけ。ビットコインの流れはトラッキングが可能ですが実質的にトラッキングできていません。
現状ではマネーロンダリングに関係した容疑でビットコイン取引所の運営者が逮捕されたぐらいで、実際にビットコインから足がついて逮捕にいたったという話は少なくとも筆者は聞いたことがありません。ちなみに、そのマネーロンダリングの金額は40億ドル(2017年7月時点で約4,400億円)だったそうです。いくらなんでもそれはバレるでしょうに……。
ビジネス化するランサムウェア
ランサムウェアを仕掛けることはカネをつかむために犯す犯罪です。そして手っ取り早くカネを稼ぐという動機ほど厄介なものはありません。とにかく早いペースでマネタイズモデルが進化しています。
まずスタートはランサムウェアを作る、使う、カネを得るのが同一人物・組織です。すべてをカバーしなければいけないのでお金を儲ける=被害者が増える=作業量が増える一方となり、うまくスケールしません。
次に何を考えたかというとランサムウェアの販売です。ランサムウェアCTB-Lockerでは3,000ドルで開発キットを販売する商売を始めました。これで先ほどより少ない労力でカネを稼げます。しかし、CTB-Lockerの購入者がたとえば10万ドルとかせしめても3,000ドルしか手にできません。これでは上手なスケーリングとはいえません。
そして出てきたのが利益を分配するモデルです。TorLockerはマルウェアのコード、ボットのコントロールパネルの利用やビットコインの回収までのインフラを提供します。利用者はターゲットを選択し、そしてそこにランサムウェアを送り込むことに注力します。報酬は提供側が30%、実施側が70%として分配します。これで利益逓増可能なモデルとなりました。
技術力のないユーザでも利用できる環境にして、より多くのユーザを抱えればより利益を得られると誰でも考えます。そこで次に何が現れるのは「技術力ゼロでもランサムウェアで利益をあげられる」モデルなはずです。まだ出現していませんが(あるいは筆者がまだ知らないだけかもしれませんが)、ランサムウェアの専用サイトに登録し、ユーザは被害者となるターゲットのメールアドレスを入れるだけで自動的に処理してくれるようなものが必ず出てくるはずです。提供側と実施側の取り分が40:60とか50:50の分配率になるかもしれません。しかし、技術知識はゼロでも犯罪でもなんでも構わないからとにかくカネを手に入れたい人間は山ほどいるはずです。
もちろん今はここまで来ていませんが、人間考えることは同じなので、そのうち現れるでしょう。今でも大変なのがもっと大変になります。
ランサムではないランサムウェア
ランサムウェアは「身代金を払うと元に戻る」という信義の上に成り立っています。なぜならばカネを払ってもファイルが元に戻らないなら、誰も身代金を払わないからです。ところが世の中には、その信義すら守らない悪い奴がやっぱりいます。
たとえばランサムウェアWannaCryはその手法からみて、最初から戻す気がなかったように思えますし、またWannaCryで身代金を払って元に戻したという報道も聞きません。2017年6月にウクライナを中心に世界中に広がったランサムウェアPetyaに至っては、犯人との連絡方法が電子メールしか考えておらず、あっというまにそのメールアドレスは無効になりました。そんなことはあたりまえで、最初に考えれば瞬時にわかると思うのですが、そうなっていました。これでは犯人と連絡の取りようがありません。つまりもう戻すことができません。
また身代金ではなく恐喝ですが、「ハードディスクに違法な画像を発見したので通報されたくなければカネを払え」とメッセージを出してくる、ランサムウェアRevetonというのもあります。こんなもので引っかかるかと思うのですが、違法物を所有しているのがバレたと思って警察に出頭してきた事例もあったそうですから、バカにはできません。
日本はまだ本格的にはなっていない
海外では日常茶飯事のランサムウェアですが、日本ではまだ本格的とまでいっていません。これにはいくつかの理由があるはずですが、その一番の理由は言語の壁があるからだと思います。身代金を払わなくてはいけないことを理解させる、身代金を指定の方法で払う、戻す鍵を手に入れる、戻す方法を知る、といったプロセスで意思疎通が必要なはずです。その意志疎通の必要性を考えた場合、非日本語圏の人間が日本語の相手を選ぶのは難しいでしょう。
また、日本でビットコインが一般的になるのに時間がかかっている点が挙げられます。今日ランサムウェアに感染したとして、ビットコインで入金しろといわれても、そこから口座を開設し書類を郵送してもらいそれを送り返して……といった手間が必要です。個人ならどうかなっても会社の口座となると、さらに大変です。カネを受け取った犯人に戻す気があっても、そのうち犯人が指定した時間が過ぎてしまうことになりかねません。それでも時間とともに、ビットコインのような仮想通貨もあたりまえに使う時代になるでしょう。
最後に。どこかに「犯罪でも何でもかまわないからカネがほしい」と思っている人間は確実にいるはずです。日本の国内事情に詳しく、そして日本語が十分に操れる人間が、このランサムウェアのエコシステムに参入してくるのは時間の問題でしょう。