ランサムウェア前線(2)米FBIが対策に躍起 巧妙な「SamSam」の手口とは

江添 佳代子

April 12, 2016 10:30
by 江添 佳代子

ランサムウェアを利用した犯罪が世界中で急増していることに、最も苛立たっている組織のひとつは米国の捜査機関だろう。ロイターの3月28日の報道によれば、FBI(米連邦捜査局)は現在、セキュリティの専門企業や研究者たちに対して「新たなランサムウェアの捜査の協力」を緊急に求めているという。

ロイターによると、FBIが緊急に発行した3月25日付けの秘密文書には「あなたの助けが必要です!」と記されていたという。その内容は「あなたがランサムウェアによる攻撃の証拠を持っている場合、あるいは捜査の手助けとなる情報を知っている場合、すみやかにCYWATCH(FBIのサイバーセンター)に連絡をすること」を乞うものだった。

この文書の中でFBIが焦点を当てていたのは、「MSIL」または「Samas」「SamSam」と呼ばれる特定のランサムウェアだった(本稿では、以下SamSamと表記する)。マルウェアの脅威を伝える立場にあるFBIは3月初頭、このSamSamに関する技術的な情報をセキュリティ企業にシェアしていたという。しかし、その時点で「捜査の協力」は依頼されていなかった。つまりFBIの捜査が、この数週間で大いに難航したのであろうことは想像に難くない。

米国のセキュリティ企業Carbon Blackの共同創業者はロイターの取材に対し、「これは国のサイバーエマージェンシーだ」と語っている。そして事件を伝えた北米メディアの見出しには、「緊急事態」「切迫した状況」「エピデミック」など派手な表現が用いられることとなった。

FBIを焦らせる「SamSam」とは?

このSamSamは現在、Lockyと共に最も注目されているランサムウェアの一つと言えるだろう。SamSamには、これまでに見られてきたような典型的なランサムウェアとは異なった悪質な特徴がある。

多くのランサムウェアは、まずユーザーベースの攻撃(メールによるフィッシング攻撃など)を行い、そこから端末に感染して活動を始める。しかしSamSamは最初にサーバーを侵害し、これを足がかりとしてネットワーク全体の端末に感染を広げる。その後、感染先の様々なファイルを2048ビットのRSA暗号で次々と暗号化したのち、被害者に身代金を要求する。たとえ一人ひとりのユーザーが、自分の端末のバックアップをネットワークベースでこまめに保管していたとしても、そのバックアップまで暗号化してしまう。

このようなランサムウェアは、ネットワーク全体のシステムファイルを暗号化されてしまうと、なかなか復旧できないタイプの組織に大きなダメージを与えることができる。また一刻も早く通常どおりの業務を行わなければ大惨事を起こしかねない業種の組織を脅すにも、極めて有効な手法だ。

ここで、前回お伝えした「病院」を襲ったランサムウェアの話題を思い出していただきたい。まさしくSamSamは、「ヘルスケア業界に特定の焦点を当てたランサムウェアであるようだ」と、Cisco Talosの研究者は説明している

このSamSamの侵入方法に関しては、パッチを当てていないJBoss(オープンソースのAPサーバー)の脆弱性を悪用して攻撃するなど、複数のケースが報告されている。SamSamの技術的な情報、および被害者と犯人による通信の内容などは、先述のCisco Talosのブログで丁寧に解説されているので、より詳しく知りたい方にはご一読いただきたい。

FBIはユーザーへの警告を繰り返しているが…

FBIではランサムウェアに関して、数年前から一般ユーザーに向けた警告を何度も繰り返しており、その頻度も次第に上がっている。3月17日にも、ランサムウェアの脅威を伝えるプレスリリースを新たに発表したばかりだ。それは「FBI、その他の警察機関による通告のように見せかけたメッセージをPCに表示し、『あなたは連邦法を犯した。罰金を支払うまで、あなたのPCのデータをロックする』と脅迫するタイプの詐欺」の手法を説明し、被害を未然に防ぐ対策を紹介するとともに、要求された身代金を払わないこと、そして被害者は速やかにFBIへ報告することを求める内容となっている。

さらに翌週の3月25日には、「FBI Podcasts and Radio」のコーナーでもRansomware on the Rise(ランサムウェア増加中)という音源プログラムが提供された。こちらは分かりやすい言葉のみを用いて、一般的なランサムウェアの問題や、その活動が急増しているという警告、日頃からバックアップをとる重要性、および感染防止の対策などを音声で説明したものだ。

一方、日本でもランサムウェアの被害は急増している。しかし、その脅威はようやく一般ユーザーに浸透し始めた段階であるため、初心者やライトユーザーに広く理解される頃には大規模な被害が及ぼされているかもしれない(ちなみに昨年の北米で大きな話題となったランサムウェア「Cryptowall」は、2015年だけで総額3億2500万ドル、日本円にして360億円ほどの身代金を奪ったと考えられている)。日本でも政府機関などによる分かりやすい注意喚起が、早急に必要とされる時期に来ているはずだ。
 
その3に続く

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…