ランサムウェアが金のなる木とみなされるようになり、サイバー犯罪者はこぞって分け前にあずかろうとしています。その結果、知識を持つサイバー犯罪者が、ランサムウェアを利用した自作のサービスを「Ransomware as a Service(RaaS)」として、新人や志望者向け材料キットの形で提供していることが確認されています。
2016年7月中旬、「STAMPADO(スタンパド)」(「RANSOM_STAMPADO.A」として検出)と名付けられた新しい暗号化型ランサムウェアが「Deep Web(ディープWeb)」で宣伝されていました。作成者によって、「使用方法は簡単、無期限有効、価格はたったの39米ドル(約4千円、2016年7月28日現在)」といった見出しで宣伝されていたにもかかわらず、当初セキュリティリサーチャーはこの検体を確認していませんでした。
図1:ディープWeb で確認された「STAMPADO」の広告
その後確認された検体の解析の結果、「STAMPADO」が「JIGSAW」を模倣していることが明らかになりました。「JIGSAW」はこれまで確認された暗号化型ランサムウェア亜種の中でも特徴的なものの1つです。どちらも、感染PC のユーザに恐怖心から身代金を払わせるため、一定時間経過の後、ランダムにファイルを削除していきます。
 |
 |
図2 および 図3:「STAMPADO」(左)と「JIGSAW」(右)の脅迫状の比較(クリックで拡大)
「STAMPADO」と「JIGSAW」は、どちらも AES方式でファイルを暗号化し、ユーザのファイルへのアクセスを不能にします。しかし、類似点はそこまでです。さらに調べると、「STAMPADO」はプログラミング言語「AutoIT」を利用し暗号化されていましたが、これは復号と解析が容易です。つまりプログラムに関しては「JIGSAW」ほど洗練されていない事を示しています。
また、「JIGSAW」には身代金の仮想通貨「Bitcoin(ビットコイン)」を購入するための具体的な指示がありましたが、「STAMPADO」は、ファイルを取り戻すためのコンタクト先メールアドレスしか提供していません。「JIGSAW」はすべてのドライブを検索し暗号化しますが、「STAMPADO」は<All Users Profile>および<User Profile>フォルダ内のファイルを検索し暗号化します。「JIGSAW」はユーザに身代金の支払いまで24時間の猶予を与えてから、支払わなければ1日1ファイルを削除していきますが、「STAMPADO」は身代金支払いまで6時間しか猶予を与えず、支払わなければ1時間ごとに1ファイルを削除します。また、「JIGSAW」は暗号化されたファイルがすべて削除されるまでの猶予は72時間ですが、「STAMPADO」は96時間と少し猶予時間が増えています。
■ サービスとしてのランサムウェア「Ransomware as a Service (RaaS)」
ランサムウェア取引のビジネスモデルにも、需要供給の法則が当てはまります。これまで、トレンドマイクロは時間をかけて各国のアンダーグラウンド市場を監視しているなか、ランサムウェア価格の変動を確認しています。2012年にロシアのサイバー犯罪アンダーグラウンドで、ランサムウェアを利用したサービス(今日の RaaS に相当するもの)がほんの10米ドル(約1060円)から20米ドル(約2120円)で販売されていました。このサービスには、「Windows Blocker」といったシステムのオペレーションシステム(OS)を麻痺させるための不正プログラムが含まれていました。このサービスではサイバー犯罪者が人質とするデータを保管しておくことはできませんでした。なお、当時ランサムウェアは現在ほど需要がなかったことが、安価に販売されていた理由でしょう。
多くのユーザのみならず企業組織までが、ファイルへのアクセスとシステムを回復するため身代金の支払いに応じるようになると、サイバー犯罪者がランサムウェアの価格を引き上げたのは自然の成り行きといえるでしょう。例えば、2015年には、ブラジルのアンダーグラウンド市場で複数のOS対応のランサムウェアが3千米ドル(約31万7千円)で提供されています。
図4:ブラジルのアンダーグラウンド市場で確認されたランサムウェアの広告
現在、RaaS の価格は再び低下しています。これは、RaaS の市場が存在し以前より多くの作成者が自作の違法プログラムを提供している、という現実が、競争を激化させ結果的に価格を下落させたと考えられます。「SATMPADO」の作成者は、ランサムウェアが洗練されたものであろうが人気亜種の粗悪な模造品であろうが、サイバー犯罪者は気にしない、という事実を承知しているかもしれません。しかるべく機能して手早く稼げるなら、そのようなものでも売れる可能性があります。
■ ランサムウェアに対抗する多層的な対策
ランサムウェアの拡散は、収益の見込める稼業としてこれからも継続されるでしょう。しかも RaaS の存在は、あまり知識を持たないサイバー犯罪者が、洗練されたランサムウェアとは言えない模造品を利用したとしても、簡単に稼ぐことを可能にしています。
しかし、個人ユーザおよび企業は、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策をとることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、侵入を防ぎます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。
※協力執筆者:Ryan Flores、Stephen HiltおよびKyle Wilhoit
参考記事:
- 「Economics Behind Ransomware as a Service: A Look at Stampado’s Pricing Model」
by Homer Pacag(Threat Response Engineer)
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)