Sony
Sony
ランサムウェアの検証実験

トピックス 2020.07.28 検証!ランサムウェアに感染するとどうなるか?

ランサムウェアは、コンピューターシステム上のデータを暗号化してアクセスできなくしたり、データを窃取してデータを公開するなどと脅したりして、被害者に対して身代金を支払うよう要求する悪意のあるソフトウェアのことです。

今回の記事では、主に前者の暗号化ランサムウェアと呼ばれるものに焦点を当てて解説を行うとともに、実際に暗号化ランサムウェアに感染した場合の挙動について実験を行います。

ランサムウェアの登場から今日まで

ランサムウェアのイメージ

ランサムウェアの起源は、1989年に出現したAIDS Trojan(エイズトロイ) です。これは現在のものと同様に被害者を脅迫しますが、簡単に暗号化を解くことができる設計上の欠陥がありました。1996年以降の多くのランサムウェアはこれを克服しています。

日本においてランサムウェアが一般に知られたのは、2013年にCryptoLocker(クリプトロッカー) が流行したことがきっかけです。以降、個人のコンピューター使用者を標的としたものが流行しましたが、攻撃者たちは次第に企業や政府を攻撃したほうが多くの身代金を得られることに気づきました。

2017年より流行した北朝鮮の関与が疑われるWannaCry(ワナクライ)は、世界中で23万台以上のコンピューターに感染し、日本円にして1,450万円相当を超えるビットコインを搾取しました。また、WannaCryに感染して身代金を支払った被害者のほとんどは、データを取り戻せませんでした。

そして最近流行しているランサムウェアの1つは、2019年春頃より流行しているMAZE(メイズ)です。MAZEは、RaaS(ランサムウェア・アズ・ア・サービス)という仕組みの上に成り立っています。

RaaSは、ランサムウェアを用いた犯罪を行いたいと考えている人に対し、ランサムウェア本体とその運用のためのシステムを貸し与えてランサムウェアを拡散させ、被害者から搾取した身代金の一部をサービスの提供者が受け取る収益化されたビジネスになっています。

実際にランサムウェアにかかったらどうなるのか

ランサムウェアがどのような脅威であるのかは、ランサムウェアに感染した様子を実際に目で見て確かめることが最も分かりやすいのは言うまでもありません。

今回の記事では先ほど紹介したMAZEに感染してその振る舞いを観察した結果をご紹介します。

※この実験はコンピューターに関する専門的な知識と技能を持った筆者が行ったものであり、非専門家が行うことは推奨されません。読者の方がこの記事を真似て何らかの損害を被ったとしても編集部は責任を負いかねるためご注意ください。

まず、以下のようにMAZEを含むソフトウェアと暗号化操作を確認するための見本となるテキストファイルを用意しました。

MAZEの感染実験_1

見本となるテキストファイルの内容は、ファイル名の通り「吾輩は猫である」の本文です。

MAZEの感染実験_2

また、今回使用したMAZEを含むソフトウェアは以下のようなファイルです。

MAZEの感染実験_3

MAZEを含むソフトウェアを実行すると、以下のようにデスクトップの背景が脅迫文に変更されます。

この背景画像には「あなたのファイルは強力な暗号アルゴリズムによって暗号化された。これを回復するには我々から復号ソフトウェアを買う他ない」などと英語で記載されています。

また、この画像からはわかりませんが「あなたのファイルは暗号化された」という趣旨の合成音声も再生されます。

MAZEの感染実験_4

タスクマネージャーを開いてみると、 MAZEを含むソフトウェアは以下のように表示されます。

MAZEの感染実験_5

デスクトップの背景の変更が目を引くためにあまり目立っていませんが、デスクトップに「DECRYPT-FILES.txt(ファイルを復号.txt)」 というファイルが新しく作成されています。

この中には、以下のように金銭を支払ってファイルを復号するための方法が丁寧に記載されています。

MAZEの感染実験_6

当然ながら「吾輩は猫である」の本文は以下のように暗号化されて読めなくなっています。また、ファイル名の拡張子(.txt)が無作為な文字列が追加されたものに変更されています。

MAZEの感染実験_7

MAZEは、被害者を信用させるために3つのファイルを試験的に復号できる「テスト復号」機能を提供しているようです。これを利用すると「吾輩は猫である」の本文を再び読むことができるようになりそうです。

「DECRYPT-FILES.txt」に記載されている方法でMAZEの「サポートサイト」にアクセスすると、以下のようなページが表示されます。

このページからはチャットで脅迫者と身代金の額を交渉することが可能なようです。

MAZEの感染実験_8

「テスト復号」をクリックすると、大変残念なことに「テスト復号は一時的に利用できない。チャットで問い合わせをしてほしい」と表示されました。

MAZEの感染実験_9

仕方がないのでチャットで問い合わせを行なってみましたが、一向に返事がなくファイルを元に戻すことは諦める他にありませんでした。

MAZEの感染実験_10

終わりに

ランサムウェアに感染した多くの場合、暗号化されたファイルを回復するには攻撃者の要求に従う他にありません。

しかし、攻撃者の要求に従っても暗号化されたファイルは回復できるとも限らず、反社会的勢力の要求を拒否することが推奨されているように、社会倫理面での問題もあります。

もし、あなたのコンピューターがランサムウェアに感染してしまった場合には、回復に必要な情報が失われることを避けるために決してコンピューターの電源を切らないでください。また、コンピューターをむやみに操作しないでください。

一般財団法人日本サイバー犯罪対策センター(JC3)が案内する方法 (https://www.jc3.or.jp/info/nmransom.html) を試すことも一つの選択肢ですが、事態が極めて深刻な場合には、警察や信頼できるコンピューターセキュリティーの専門家に相談してください。

ランサムウェアを始めとした悪意のあるソフトウェアによるサイバー犯罪は、あなたにも決して無縁のものではなく、あなた自身やあなたの家族、友人、勤務先、ひいてはあなたの国家に取り返しのつかない損害を与える可能性があることを強く胸に留めておきましょう。

TEXT:坂井 孝泰 セキュリティアナリスト。サイバーセキュリティを中心とした安全保障を専門領域に活動。 多面的な視点から脅威と周辺情勢の分析を行う。攻撃者の行動を先読みするため、攻撃者として求められる技能も保有。


PHOTO:iStock

あなたの大切なパソコン・スマホを守ります!
世界が認める総合ウイルス対策ソフト

カスペルスキー

この記事を気にいったらいいね!しよう

セキュリティ通信の最新の話題をお届けします。

ページトップ