ランサムウェアでみんなが幸せに!? NASCAR史上&サイバーインシデント史上でも稀に見る「珍事件」

江添 佳代子

July 20, 2016 11:00
by 江添 佳代子

米国で人気のストックカーレース「NASCAR」のチーム「CSLFR(Circle Sport – Leavine Family Racing)」がランサムウェアに感染していたことが明らかとなった。同チームは犯人の要求に応じて身代金を支払い、データを復号したことも認めている。

ここまでは、さほど目新しいニュースでもないだろう。「一般ユーザーや企業だけでなく、レーシングチームまでランサムウェアの餌食になった」という事実は興味深いが、大手病院やインフラ企業、警察機関までランサムウェアに襲われている現在となっては、あまりインパクトの強い話題でもない。

しかし、このランサムウェアの事件は後に意外な方向へと転がり、結果として「NASCAR史上、最も珍しいスポンサー契約のひとつ」と呼ばれるものを生み出すことになった。今回は、この奇妙な顛末を詳しく紹介したい。

2億円の価値を持つデータ

カーナンバー95および59のシボレーで参戦しているCSLFRが、ランサムウェア「TeslaCrypt」に感染したのは今年4月のことだった。それはテキサスで開催されるレース「Duck Commander 500」の直前というタイミングで、また被害を受けたのは、CSLFRにとって最も重要なコンピューターのひとつであったという。

感染に気づいたCSLFRは、そのマシンを速やかに隔離したものの、複数台のコンピューターのデータが暗号化されてしまった。そこには彼らが構築してきた貴重なテストデータや、レースに用いるパーツに関するデータも含まれていた。同チームの説明によれば、「人質」に取られたデータには200万ドル(約2億円)分の価値があり、それらを再構築するためには1500時間分の作業を要するという。

「48時間以内に身代金を払わなければ、データは永遠に失われる」と犯人から脅された彼らは、「これまで長い年月をかけて懸命に働いてきた結果の全てが、たったの48時間で失われる恐怖に怯えた」と説明している。クルーチーフのDave Winston氏は次のように語った。

「我々が脅しの材料に使われたデータは、値段のつけられないものだった。そのデータがなければ、我々は1日たりともチームの未来の成功に貢献することができなかった。そして我々の全員は(ランサムウェアに関して)完全に門外漢であったため、どうするべきなのか全く分からなかった」

過去の記事でもお伝えしてきたとおり、米FBIは数年前から「決してランサムウェアの恐喝には応じないこと」を奨励し、被害者は速やかに通報するよう求めている。さらにFBIは、感染を未然に防ぐこと、データのバックアップを取ることの重要さを何度も訴えてきた。しかし実際に感染してしまった場合、他に選択肢がないという理由で要求に応じてしまう被害者は少なくない。

また、ランサムウェアの恐喝事件が公表されれば、企業のセキュリティの甘さを世間に露呈することにもなりかねない。それを恐れて、被害届けを出さず、ひそかに身代金を支払った被害者も存在するだろう。実際には我々が知らされているよりも多くの組織が、その被害に遭っている可能性がある。

FBIの「支払うな」という警告をCSLFRが知っていたのかどうかはさておき、チームにとって致命的なデータを人質に取られた彼らは、犯人の要求に従って身代金を支払うことを決断した。しかし、過去に一度もビットコインを利用したことがなかった彼らは、それを入手する方法や送金の方法、ATMの設置されている場所に至るまで、一つひとつインターネットで調べなければならなかったという。

ランサムウェア「TeslaCrypt」の終焉

ここで、CSLFRを恐怖に陥れたTeslaCryptについても簡単に説明しておこう。TeslaCryptは主に欧米で流行したランサムウェアで、その初期型は40種のオンラインゲームのデータを人質に取ることで有名だった。ユーザーのハードディスクに保存されたセーブデータやプロフィール情報などを暗号化し、「元に戻したければ500ドル(約5万円)分のビットコインを支払え」と恐喝する手口だ。当時のTeslaCryptに関しては、西方望氏がTHE ZERO/ONEの記事で詳しく説明している

この初期型は、暗号化の技術が洗練されていないこと、暗号キーの格納方法が甘いことなどが指摘されており、「他の悪名高いランサムウェアに比べれば大した脅威ではない。ゲーム好きの若者に500ドルをせびるだけのクライムウェアだ」と考える人も多かった。実際、Ciscoの研究者たちは「TeslaCryptで暗号化されたファイルを自分で復号できるツール」の開発にも成功していた。

しかし、その後に登場したTeslaCrypt2.0は、暗号化のアルゴリズムや暗号キーの格納、追跡を避ける手法などに様々な改良が加えられ、Ciscoの対処ツールも歯が立たなくなり、もはやそれは「若いゲーマーだけを狙ったチープなランサムウェア」とは呼べないものになった。やがて Kasperskyの研究者たちが、この2.0に存在する弱点を発見したものの、まもなく登場したTeslaCrypt3.0では、その弱点も修正された。

こうして続けられてきたいたちごっこは今年の5月、TeslaCryptの開発者たちが唐突に「復号用のマスターキー」を公開したことで終焉を迎える。それから数日後、TeslaCryptの開発者たちの合意を得たESETは、誰でもダウンロードできる無償の復号ツール「TESLADECODER」を公開した

セキュリティ会社Malwarebytesとの「契約」

閑話休題。その復号ツールが公開される1ヵ月前に、TeslaCryptに感染してしまったCSLFRの話に戻ろう。

慣れないビットコインの扱いに戸惑いながらも、CSLFR はどうにか48時間以内に身代金を支払うことができた。ランサムウェアの被害報告の中には、「身代金を支払ったのにデータを復号できなかった」という悲惨なケースもあるのだが、幸運にもCSLFRのデータは無事に復元された。

こうして貴重なデータを取り戻したCSLFRは、ランサムウェア対策に力を入れているセキュリティ企業Malwarebytesの製品を導入した。失敗から学ぶのは重要なことなので、「感染前に導入していればよかったのに……」という野暮な指摘は止めておこう。

その製品を導入した結果、同チームのコンピューターには、まだマルウェアに感染した複数のファイルが残されていることが判明した。それらを除去したCSLFRは、さらなる協力をMalwarebytesに要請した。事件後の調査や後始末だけでなく、今後の防犯対策を整えるためにもプロのアドバイスが必要だと判断したのだ。そして現在、MalwarebytesはCSLFR社の全てのシステムを保護している。

だが、話はここで終わらない。この事件を通してCSLFRとの親睦を強めたMalwarebytesは、7月開催のToyota/Save Mart 350で、CSLFRのスポンサーに加わることを発表した。さらに同社は、その翌月に開催されるNew Hampshire Motor Speedway以降、今シーズンのNASCARレースでCSLFRのプライマリースポンサー(メインスポンサー)となることを決めた。かくしてCSLFRのドライバーMichael McDowellが運転するカーナンバー95の車体には、Malwarebytesの大きなロゴが掲げられることになった。

ランサムウェアで、みんなが幸せに?

実は、このランサムウェアの感染騒動は「MalwarebytesがNASCARのチームのスポンサーになった」という発表をもって広く知られることになった事件だった。6月24日、Malwarebytesは自社のウェブサイトでCSLFRとの新たなパートナーシップを報告しただけでなく、CSLFRのスタッフたちが4月の感染事件の顛末について語る動画を公開することで、ランサムウェアの恐怖を伝えた。言い方を変えるなら、Malwarebytesは事件を利用する形で広報活動を行った、ということにもなるだろう。

通常であれば、ランサムウェアの被害者がメディアに発表するコメントは悲痛だ。しかし、この動画で当時の様子を語るCSLFRのメンバーたちの声は明るい。彼らは口々に、「もうパニック状態だった」「こういう問題には注力してこなかったから、何をどうしたらいいのか分からなかった」と、すっかり憑きものが落ちたような表情で事件を振り返っている。

セキュリティ対策を怠ってランサムウェアに感染した企業が、犯罪者に身代金を支払ったという事実は、本来ならば決して褒められた話ではない。しかし、この動画を見ていると、まるで「レースだけに生涯を捧げてきた不器用な男たちが、思わぬ不幸に見舞われながらも困難を乗り越え、新たなパートナーも得た現在、さらに明るい未来に向かって進んでいる」というような、極めてポジティブな物語に見えてくるのが不思議だ。

ともあれMalwarebytesは、NASCARファンたちの注目を浴びることに成功した。そのファン層には、サイバーセキュリティの分野にあまり興味のない人々も多いだろう。興味があろうとなかろうと、すべてのインターネットユーザーはランサムウェアの脅威に曝されている。その恐ろしさとセキュリティの重要性を、極めて人気の高いモーターレースの世界で伝えることは、全米レベルの防犯に繋がる活動だともいえる。

そして事件の被害者となったCSLFRは、特に大きな非難を受けることもなくファンの関心を集めたうえ、新たなメインスポンサーまで得られることになった。ちなみにCSLFR がデータの身代金として支払ったのは、TeslaCryptが提示するお決まりの金額、つまり500ドル(約5万円)だ。考え方を変えるなら、彼らはたったの500ドルでチームの宣伝とスポンサー契約を実現したということになる。あまりにも出来過ぎた話であるためか、「本当はランサムウェアの感染など起きていなかったのでは?」と疑うファンもいるほどだ。

この話題を伝えたNASCARのウェブサイトは、CSLFRとMalwarebytesのスポンサー契約について、「NASCAR史上、もっとも珍しい出来事のひとつ」と表現した。それは「サイバーインシデント史上」に置き換えても通用するだろう。マルウェアの感染によって、被害者を含めた関係者たちに幸運が訪れたなどという奇妙な話は、滅多に聞けるものではない。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…