「身代金要求型不正プログラム(ランサムウェア)」は、今日の脅威状況では既に目新しい脅威ではありません。そして、継続して機能を拡充して被害を拡大させています。「PETYA」「Mischa」「Locky」「7ev3n」「TrueCrypter」といった新しい暗号化型ランサムウェアによる攻撃が日常的にニュースとなっています。しかし今回、興味深い事実が確認されました。暗号化型ランサムウェア「CRYPTESLA」(別名:TeslaCrypt、「RANSOM_CRYPTESLA」として検出)の作成者が活動停止を決め、復号のためのマスターキーを無料で公開したのです。
セキュリティ会社「ESET」のリサーチャーによると、CRYPTESLA の作成者が徐々に活動を後退させており、他のランサムウェア「CryptXXX」へと切り替えているようです。また、「Dark Web(ダークWeb)」にあるサポートチャットで作成者と接触し、CRYPTESLA に感染したPCのファイルをすべて復号できる、マスターキーを受け取りました。作成者はまた CRYPTESLA の活動を停止することも言明しています。
CRYPTESLAは、確認された当初、ゲームプレイヤー、PCゲームの改造や追加データを作成するユーザ、PCゲーム配信プラットフォーム「STEAM」のユーザなど、特定のユーザを狙っていました。主にスパムメールや、改ざんされた WordPress などの Webサイト経由で拡散され、Webサイトは閲覧者を「Angler Exploit Kit(Angler EK)」を組み込むページへ誘導するように設計されていました。Angler EKは Adobe Flash Player の脆弱性を利用して不正プログラムを拡散しますが、この脆弱性は最近修正されています。
ゲーム業界は非常に繁栄している主要産業であり、次の大ヒット作を期待して莫大な投資をする開発者と、ゲームのための出費を惜しまないプレイヤーが存在する成長市場でもあります。2015年、「Counter-Strike: Global Offensive」の STEAMアカウントの認証情報を狙ったフィッシング攻撃が、公式サイトURL を装った偽の Webサイトを利用してユーザを狙いました。また同年5月には、偽の Android端末用 Minecraftゲームアプリをダウンロードしたユーザが、偽のウィルス感染の警告とともに駆除のために有料のプレミアムサービスに申し込むよう脅かされるという事例がありました。ゲームメーカーやソフトウェア会社を狙った「分散型サービス拒否(DDoS)攻撃」が2014年の第3四半期から2015年までに180%増加したことが報告されています。よく知られたソニー個人情報流出事件では、何百万という PlayStation Network ユーザの個人情報が流出し、ソニーに1億7千1百万米ドル(約188億5千万円)の損害を与えました。
そして、その後の亜種はより広く一般の利用者にも影響するものとなり、ゲームに関連するファイル拡張子だけでなく、Word、PDF、画像、iTune他のメディアのファイルを暗号化する機能を備えていることも判明しています。この暗号化型ランサムウェアの被害者は1週間以内に500米ドル(約5万5千円。2016年5月20日現在)を仮想通貨「Bitcoin(ビットコイン)」で支払うように指示され、1週間を過ぎると1,000米ドル(約11万円)に値上がりします。
CRYPTESLA は、2015年2月から4月の3カ月間で76,522米ドル(約843万円)をゆすり取ったと報告されています。弊社は、2015年12月に英有名ニュースサイト「The Independent」のブログ掲載ページでこの暗号化型ランサムウェアを拡散する不正広告について報告しています。
CRYPTESLAについては前述した万能の復号鍵を、現在は機能していない匿名通信システム「The Onion Router(Tor)」上の Webサイトで見つけることができます。すでにこのランサムウェアによって暗号化されたファイルを復号するためのツールとソフトウェアもリリースされています。
参考記事:
- 「TeslaCrypt Ransomware Devs Close Shop, Gives Away Master Key for Free」
by TrendLabsフィリピン
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)