もはやランサムウェアとは呼べない「NotPetya(Petya)」の恐怖 (3) 3000万円で復号キー売ります

江添 佳代子

July 10, 2017 08:05
by 江添 佳代子

 
その1 再び世界を襲ったNSAのエクスプロイト
その2 身代金を「本気で要求していない」身代金ウイルス

それでも300ドルを振り込んでしまった被害者たち

ランサムウェアの恐喝に応じ、サイバー犯罪者に金を渡してしまう行為は、もともと決して褒められたものではない。また身代金を払ったところで、暗号化されたデータが復元できるとは限らない。それでも貴重なデータを失った人々が、あえなく支払いに応じてしまうケースは過去に何度も見られた(例1例2)。なにしろ大半のランサムウェアは、たかだか数百ドル(数万円)程度の身代金しか要求しない。データを取り戻せる可能性があるかぎり、「無駄かもしれないけど払いたい」と考える被害者がいるのも無理からぬ話だろう。

しかしNotPetyaの場合は、一般的な多くのランサムウェアとは話が別である。これは「NotPetyaを利用するような、卑劣なサイバー犯罪者の恐喝には決して屈しないようにしましょう」という勧告がなされたのではなく、「NotPetyaに300ドルの身代金を支払う理由はない。もともと復号を前提としていない形で暗号化されており、払ったあとで犯人と連絡をとることもできないのだから、すべてが徒労に終わる」とセキュリティのプロたちが警告したのだ。

そして現在では──少なくとも欧米圏では──「NotPetyaに身代金を払っても無駄だ」という案内が、かなり浸透したように見える。しかしNotPetyaが一気に大流行した6月27日朝の時点では、単にパニック状態を伝える内容の報道が先行しており、そのマルウェアに関する技術的な情報も錯綜気味だった。

もちろん世界中のセキュリティ専門家たちは、この「古いPetyaとは全く異なるPetya」を27日の早朝から大急ぎで研究し、何度も最新の情報を発表してきた。その甲斐あって、同日のうちには「NotPetya」に関する多くの知識が共有され、様々な注意喚起が行なわれた。しかし、彼らの発表を待たずに身代金を支払ってしまった人々も少なくなかった。

引き出された1万ドルと、2つの小さな振り込み

米国拠点のビジネスメディア『Quartz』は6月27日(NotPetyaが大流行した日)、Twitterのアカウント「petya_payments(@petya_payments)」を新設した。このアカウントは、「身代金の振り込み先としてNotPetyaが指定したビットコインのワレット」への入金状況をボットがツイートするものだ。この原稿を執筆している時点で、振り込まれたビットコインの総額は約3.963BTC。米ドルに換算すれば、およそ1万ドル(約110万円)程度である。

NotPetyaの指定したビットコインアドレスへの入金状況を教えてくれるTwitterアカウント

世界中の大企業をパニックに陥れたマルウェアの儲けが、たったの110万円では安すぎると思われた方もいるかもしれない。しかし「NotPetyaはランサムウェアの姿をしたワイパーであり、もともと金儲けを狙ったものではなく破壊活動のために作られたマルウェアだ」と評価する専門家が多いことを考えれば、ずいぶんと無意味な金が集まってしまったようにも感じられるだろう。

「petya_payments」のツイートをご覧いただければお分かりになるとおり、問題のワレットに入金が行われた日付は6月27日が圧倒的に多く、28日、29日と徐々に少なくなっている。彼らの多くはNotPetyaに関する案内や説明に触れるよりも前に、誰にも相談をせず、あわてて金を振り込んでしまった可能性が高いだろう。しかし7月に入っても、まだ振り込みは(少数ながらも)続いている。これらの振り込みを行なった人々は、いまだにNotPetyaの報道に触れていないのか、あるいは「いくら無駄だと言われても、どうしてもあきらめきれなかった人々」なのかもしれない。

「キーがほしければ100ビットコインを送れ」

『Motherboard』の7月5日の報道によれば、このワレットに入っていたビットコインは7月4日の夜にいったん引き出され、別のワレットへ移されたようだ。「ハッカーたちは、その数分前にも『Pastebin』と『DeepPaste』のワレットへ少額の支払いを行っていた」と同誌は報告している。

これらのウェブサイト、特にPastebinは汎用性の高いテキスト貼り付けサイトで、情報を共有したいプログラマーなどに愛用されているが、しばしば悪質なハッカーが犯行声明や情報流出の告知を行ったり、あるいは悪性コードを流通させたりする際にも使われるサービスとしてお馴染みである。
・参照:FBIのWebサイトがハッキングされ漏洩データがPastebinに公開される

そしてついに、NotPetyaの関係者を自称する人物が、PastebinとDeepPasteに現れた(Pastebinの書き込みDeepPasteへの書き込み)。そこには「NotPetyaで暗号化されたあらゆるハードディスク(ブートディスクを除く)のプライベートキーがほしければ、100ビットコイン(約3000万円)を送れ」というメッセージが記されている。しかし振込先のビットコインアドレスは掲載されておらず、そのかわりに連絡先として「ダークウェブのチャットルーム」へのリンクが張られていた。

NotPetyaの関係者を自称する人物がPastebinに登場

その後の質疑応答の内容を見ると、どうやら投稿者は「それぞれのマシンでファイルを暗号化したときの復号キー(※1)」を被害者に発行すると言っているのではない。彼らは「NotPetyaによって暗号化されたすべてのマシンを復号できるキー」を持っており、それを100ビットコインで手に入れたければダークウェブで連絡をせよ、と申し出ている。

そのようなキーを本当に投稿者が持っているのか、そもそも投稿者は本当にNotPetyaと関係している人物なのかも現在のところは判明していない。その投稿には「嘘に決まっている」「偽物だ」といったコメントも寄せられている。しかし、もしも投稿の内容が本当であるのなら、NotPetyaは「ランサムウェアに見せかけたワイパーかと思いきや、やはりランサムウェアだった可能性」や、「金銭と破壊活動の両方(あるいは、それにプラスした何かも)を狙ったマルウェアだった可能性」があるということになる。それはますます得体のしれないマルウェアとして名を遺すことになるのかもしれない。
 
※1…「NotPetyaの仕組みを考えるなら、マルウェアの著者であっても復号キーを抽出できない」「そもそも鍵を取り出すためのIDがランダムに生成されているだけだ」と、著名なセキュリティ企業の研究者たちはこれまで指摘してきた。そのときの彼らが、「すべてのNotPetyaの暗号化を復号できるキー(被害者全員で使い回しが可能となるキー)」のことまで考えていたかどうか筆者にはわからない。

以下、本稿執筆直後の追記。

NotPetyaに暗号化されたファイルが復元される

その後、Motherboardが重要な情報を新たに発表した
上記の投稿者とダークウェブのチャットルームで接触を試みたMotherboardは、投稿者から「ディスクを実際に復号できることを証明するための、ファイル復号の無料お試しサービス」のオファーを受けた。さっそくMotherboardはセキュリティ企業「ESET」の研究者に協力を要請した。その研究者は、バーチャルマシン上でNotPetyaを実行し、それによって暗号化させたWordファイルを同誌に提供した。

Motherboardが、この「NotPetyaで暗号化されたWordファイル」を投稿者へ送ったところ、2時間後にはオリジナル(暗号化される前)と同一のWordファイルが返送されてきた。同誌はもう一度、別の研究者から寄贈されたファイルで復号を依頼したものの、その後は連絡が途絶えた。ともあれ、彼らは少なくとも一度は「復号に成功した」と考えられる(※2)。

これで、NotPetyaの関係者を名乗る投稿者は「本当の関係者」であり、その人物が「すべての被害者で使い回せる復号キー」を持っている可能性は高いということになった。こうなると今度は、犯人たちの本当の目的が再び疑問視される。ただ単に破壊活動だけを目的としていたのであれば、わざわざ復号を申し出る必要もないからだ。とはいえ感染の勢いが静まりつつある現在、このような申し出をすることによって、犯人が「世間の関心をNotPetyaへ再び集めようと試みているのではないか」とも推測できる。

NotPetyaの使い手が「ある程度は身代金にも期待していた」とするなら、最初からそれほど集金に注力していないランサムウェアを流行させたことも謎である。なにしろNotPetyaは、他の多くのランサムウェアのように「感染先ごとに異なった連絡先のメールアドレスを表示する」という手法を採用しておらず、すべての感染先で同じメールアドレスを表示していた。そのため彼らのメールアドレスは、すぐさまシャットダウンさせられ、被害者と犯人の唯一の連絡経路は一発で絶たれた。犯人たちが、その展開を事前に想像できなかったとは考え難い。

そのランサムウェアが極めて高性能で影響力が高い反面、ごく一般的なランサムウェアと同じように「300ドル」という少額の身代金を提示していたのも、それが金銭目的のクライムウェアだったとするなら奇妙である(たとえば病院などの施設を狙ったランサムウェアでは、より高額な身代金が設定されることもあり、「背に腹はかえられぬ」と多額の恐喝に応じてしまう被害者の例は何度も報告されてきたからだ)。さらに、すっかり感染の勢いが下火になってから、わざわざPastebinやDeepPasteなどの一般サービスを通し、100ビットコインという法外な値段で復号のオファーを申し出たことも不可解で(それは最初に示された身代金の約1000倍である)、「キーが欲しければダークウェブのチャットルームで接触しろ」と連絡手段のハードルを上げたことも、不自然といえば不自然である。
 
※2…「彼らはNotPetyaの関係者である」「実際、ファイルの復号に成功した」と断言できそうな状況だが、思いもよらないトリックが用いられた疑いも完全には捨てきれないだろう。例えば投稿者がすでにひっそりとMotherboardの社内システムに侵入しており、ESETからサンプルとして同社に送られていた「オリジナルのWordファイル」を横取りして返送した、などの可能性もゼロではないはずだ。これは筆者の単なる思いつきでしかなく、また「あのMotherboardのシステムがそんなに弱いはずがない」とも思っているが、なにしろ今回の事件そのものが荒唐無稽なので、どこで何が起きていたとしても不思議ではないだろう。

Shadow Brokersと似た動きをする犯人

これらの行動は、Shadow Brokersの犯行に少し似ている。Shadow BrokersはNSAから機密情報を盗みだし、その事実を「出鱈目なオークションの開催」という形で世に知らしめたうえ、ほとんど儲けも出さないまま、盗んだファイルを何度も小出しにしてオンラインに流出するという不可解な行動を起こした。あちらもセキュリティ業界を揺るがした大掛かりな犯行で、それは結果としてWannaCryやNotPetyaの活動にも貢献する事件に発展したのだが、誰が何を目的にして行ったことなのか、いまだに判明していない。

言うまでもないことだが、「ダークウェブで投稿者と接触し、100ビットコインの身代金を支払えば、本当にNotPetyaに感染したディスクを復号できるキーを手に入れられるのかどうか」はまったく保証されていない。そしてMotherboardも相手に身代金を支払ったわけではなく、キーを入手したわけでもない。ただ単に、「投稿者に送ったひとつのサンプルファイルが、暗号化されていない状態で(おそらくは復号されて)Motherboardに返送された」という事実が示されただけだ。この点はMotherboardも明確に記している。

もしかすると、「NotPetyaに感染した我が社の全てのマシンを3000万円で復元できるなら、ぜひともお願いしたい」と考える被害者はいるかもしれない。しかし相手は信用に値する人々だと思えないうえ、何を目的としているのかも想像がつかないので、彼らと安易に接触するのは危険であるということは肝に銘じていただきたい。
 
(その4につづく)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…