「サービスとしてのランサムウェア(Ransomware as a Service、RaaS)」として「Encryptor RaaS」(「RANSOM_CRYPRAAS.SM(クリプラース)」として検出)が初登場したのは、2015年7月にさかのぼります。この RaaS は、同じく金銭の窃取が目的の「Tox」や「ORX Locker」のような RaaS に匹敵するか、あるいは後継種になるかと予測されました。「Encryptor RaaS」は複数のオペレーティングシステム(OS)に対応し価格設定が手頃であったため、新参のサイバー犯罪者が初めて利用するには好都合であったことなどから、影響範囲が拡大する恐れがありました。この RaaS は、購入者によるカスタマイズによって攻撃手法が多様に変化する、という特徴から、ユーザや企業にとって軽視できない脅威となりました。
「Encryptor RaaS」の作成者は、匿名通信システム「The Onion Router(Tor)」のネットワークによってのみアクセスできる、会員専用のコントロールパネルを用意していました。このコントロールパネルを用いて狙ったユーザの PC を制御することが可能になります。取引には仮想通貨「Bitcoin(ビットコイン)」が指定されていました。「Cerber」のような他の暗号化型ランサムウェアでは、作成者が手数料として 40%を要求していたのと比べ、「Encryptor RaaS」では、手頃な価格を提示しています。会員は、収益の 5%というわずかな手数料を支払うことによって、ランサムウェア拡散を継続できました。
トレンドマイクロは、2016年3月初旬、「Encryptor RaaS」の作成者が、完全な検出回避機能の実装に取り組んでいたことを確認しました。検出回避機能には、RaaS が有効な証明書でデジタル署名されていること、そして、セキュリティ対策ソフトウェアによる検出を回避する手法と暗号化技術が繰り返し用いられていることが挙げられます。
しかし、それから 4カ月後、「Encryptor RaaS」は突如サービスを停止しました。厄介なランサムウェアが脅威状況から1つ減ったのは喜ばしいとはいえ、不都合な点も残りました。作成者は、復号のためのマスターキーを公開せず、削除してしまったのです。暗号化されたユーザのファイルを復号することは永久に不可能となりました。それでは、どのように「Encryptor RaaS」が突然サービス停止へと至ったのかを考察してみましょう。
■ 「Encryptor RaaS」の手口
「Encryptor RaaS」は、「Dark Web(ダークWeb)」上の掲示板、および表層Web で宣伝されていました。購入を希望するサイバー犯罪者は、「Encryptor RaaS」の作成者に、Tor ネットワーク経由で購入意思を示すだけで、あとは BitcoinWallet ID の設定方法さえ理解していれば、他の専門知識は持たなくても利用できました。BitcoinWallet ID は、拡散する暗号化型ランサムウェアに付与されます。また、会員は「customer ID(顧客識別番号)」も受け取ります。暗号化されるファイルには、各々固有の所有者が存在することを意味します。会員は身代金の金額を設定し、カスタマイズした独自の暗号化型ランサムウェアを拡散する経路を選択することができます。
C言語のみで書かれている「Encryptor RaaS」は、RC6 と RSA-2048 のアルゴリズムを利用し、231のファイル形式を暗号化します。また、被害者であるユーザ用のID が生成され、そのID を利用してユーザがコントロールパネルにアクセスし、身代金支払いの指示を読めるように作成されていました。
図1:暗号化されたファイルの各フォルダ内に残された脅迫状。英語とドイツ語で書かれている
「Encryptor RaaS 」のシステム全体は Tor のネットワーク内に隠されているため、当然、ファイルを暗号化されたユーザは、Tor のネットワークにアクセスする必要から、「Tor2Web」あるいは「Tor Browser」のようなサービスを使用するように指示されます。ユーザは、サイバー犯罪者と接触するためにチャット機能を利用することもできますが、大抵の場合は、「身代金を払えばファイルを復号する」のような、素っ気ない返信しか得られなかったようです。
図2:被害者用コントロールパネルログイン画面
図3:コントロールパネルにログインした後に誘導されるページ
■ 工夫を凝らした設計
商売のためには、顧客との取引を継続しなければなりません。それには、サイバー犯罪者にとって利用価値がある RaaS である必要があり、セキュリティ対策ソフトウェアによる検出を回避できる機能が望まれます。そのような動機から、作成者はデジタル署名サービスの提供も開始しました。作成者は、窃取された Authenticode対応有コードサイニング証明書各種へのアクセスが可能であることを宣伝し、それにより「Encryptor RaaS」に無料でデジタル署名することができる、と言明していました。また、オークションでも証明書を販売していました。
図4:窃取されたコードサイニング証明書をオークションの最高額入札者に提供する
図5:Windows版「Encryptor RaaS」にデジタル署名するため利用される証明書の例。コードサイニング証明書の窃取および悪用は、不正プログラムの検出を回避するために利用される手法の一つで、特に誰でも無料で利用できる認証局によって発行された証明書が悪用されやすい
作成者の尽力が功を奏したようで、「Encryptor RaaS」は、時として検出を完全に回避できるまでに強化されていました。最新のふるまい検知のような手法を除く静的解析による検出を、35回中2回、回避していることが確認されています。もう1つ、Linux サーバおよび Linux 搭載デスクトップ PC を狙う亜種(「RANSOM_CRYPRAAS.B」として検出)も販売されていましたが、弊社はこの亜種がその宣伝の通り動作することを確認しています。
図6:2016年5月5日時点での「Encryptor RaaS」の検出率
「Encryptor RaaS」の作成者は、「jeiphoos」というハンドルネームを用い、アンダーグラウンドのフォーラムやソーシャルメディアにおいても活発に活動していました。弊社は、インターネット上を詳細に調査した結果、「Encryptor RaaS」に直接関与すると見られる人物の Facebook の投稿メッセージを確認しました。証拠となるのは、Facebook への投稿日が2016年3月1日で、「Encryptor RaaS」が新しい亜種として現れた日時と同じであることです。また、この人物の Twitter のツイートから、ビットコインの取引に非常に興味を示していたことが確認されています。
図7:「Encryptor RaaS」の機能について宣伝する Facebook の近況アップデート(左)、および Twitter のツイート(右)
■ 活動停止の決断
「Encryptor RaaS」は勢いに乗っていると思われました。しかし、調査の初期で、「Encryptor RaaS」の利用していたコマンド&コントロール(C&C)サーバの1つが、作成者によって放棄されたのか、あるいは誤ってインターネット上で開放されたのか、いずれにしても Tor で匿名化されていない状態で露出してしまったことが確認されました。その結果、検索エンジン「Shodan」によってインデックスされたため、「Encryptor RaaS」は正規のクラウドサービス上でホストされていることが発覚しました。そして 6月末には、「Encryptor RaaS」のシステムの1つが差し押さえられました。
図8:「Encryptor RaaS」の、Shodan による検索結果(左)と、差し押さえられた C&C サーバの1つ(右)
続いて、「Encryptor RaaS」の全システムが直ちに閉鎖されました。これは、おそらく作成者自身が自衛手段として行ったものと見られます。数日後、さらに 3つの C&C サーバも差し押さえられました。そして 4日後、「Encryptor RaaS」の全システムがインターネット上に再び現れましたが、そこで作成者がにわかに運営停止を告知しました。
図9:「Encryptor RaaS」のサーバの 3つが差し押さえられたと告知する作成者
図10:「Encryptor RaaS」の運営停止を告知する作成者
突如の運営停止の告知の後、暗号化サイト、および「Encryptor RaaS」の主要な Webサイトが次々と閉鎖されました。マスターキーが公開されないまま、午前零時までにはすべてが閉鎖されました。弊社は、この「午前零時」が正確にどこの午前零時であったかを確認するため、「Encryptor RaaS」の Webサイトを綿密に調査しました。その時間は作成者の居住する地域のタイムゾーンである可能性があります。
図11:ファイルを暗号化されたユーザ向けに示された、運営停止を通知するメッセージ
付加情報として、会員用のサポートチャットと掲示板は、2016年4月の時点で既に、作成者と RaaS の購入者を含む常連会員との論争が繰り広げられていました。「Encryptor RaaS」は、2016年7月5日午後5時(GMT)に閉鎖し、その際、作成者がマスターキーを削除すること、故にファイルの復号は不可能であることを被害者に告げていました。
図12:ファイルを暗号化されたユーザ向けに示された、ファイルの復号が不可能であることを通知するメッセージ
「Encryptor RaaS」の興亡の背景には、いくつかのストーリーが交錯しています。サイバー犯罪者にとっては一獲千金のもうけ話、過失から発生した一連の事件、そして、この事例は、サイバー犯罪者は誠実さなど持ち合わせていないことの証明ともなりました。被害者にとっては金銭に代えがたい価値のある復号鍵であっても、サイバー犯罪者にとって閉鎖後は何の意味もありません。
■ トレンドマイクロの対策
「Encryptor RaaS」の興亡は、ランサムウェアが引き起こす恐れのある混乱を浮き彫りにしています。また、この事例はバックアップの重要性、そして入口から広範囲のユーザ機器、ネットワーク、サーバまでを保護する多層的なセキュリティ対策の重要性についても強調しています。
トレンドマイクロは「Encryptor RaaS」を「RANSOM_CRYPRAAS.SM」として、またLinuxを狙う亜種を「RANSOM_CRYPRAAS.B」として検出対応します。「侵入の痕跡(Indicators of Compromise、IOC)」に関するリスト、署名されている亜種・されていない亜種、および Linux版の亜種についてのハッシュ値はこちらをごらんください。
トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。
企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。クラウド型業務アプリケーションのセキュリティを向上させる「Trend Micro Cloud App Security(CAS)」は、トレンドマイクロが持つコア技術であるサンドボックスや、レピュテーション技術をクラウド型業務アプリケーションでも活用できる機能を実装し、セキュリティ対策を高いレベルで実現します。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)