増加するランサムウェアによる攻撃

昨今のサイバー攻撃において、最も活躍(暗躍)した脅威は金融機関を狙うマルウェアです。ところが、この6か月間で、セキュリティ脅威の動向に大きな変化が生まれています。それはランサムウェアという新たな脅威で、金融機関を狙う標的型マルウェアの代わりに利用されるケースが増えているのです。ランサムウェアは、世界中のユーザを標的とし、多くの組織に深刻な影響を及ぼしています。以下のグラフからも、この急激な変化が読み取れます。

ランサムウェアへの感染件数

なぜ、突然このような変化が起こったのでしょうか。セキュリティ対策が大幅に強化されたとはいえ、金融機関を狙う標的型マルウェアは攻撃者に大きな利益をもたらしてきました。この疑問の答えとして、私たちは次のようなランサムウェアの特徴に注目しました。

幅広いユーザを容易にターゲットにできる。

私たちがまず説得力のあるデータとして着目したのが、攻撃が極めて広範囲に拡散している事実を示すグラフです。Lockyランサムウェアによる攻撃キャンペーンと、金融機関標的型マルウェアであるZeusによる2つの攻撃キャンペーンを比較すると、その違いは明らかです。
図1は、Lockyの感染状況を示しています。攻撃対象に合わせた現地化や絞り込みの必要性に関わらず、全世界を対象とし、多くの国に影響を及ぼしていることが分かります。一方、図2と図3はZeusによる攻撃活動を示しています。それぞれ、何らかの事情で特定の国を標的としています。

かつて攻撃者は、それほど苦労せずに銀行の利用者が送金した資金を窃取することができました。標的とする銀行のミラー・サイトを用意してフィッシング攻撃を実行し、利用者の認証情報を入手さえすればよかったのです。しかし、そのような時代はもはや遠い過去となりました。今日、この種の攻撃は複雑さが増しています。たとえ利用者の認証情報や2ファクタ認証用の情報を入手済みの場合でも、その利用者が過去に認証作業を済ませたデバイスからアクセスしなければ、資金を転送することはおそらく不可能でしょう。

また、オンライン・バンキング・サービスを狙う攻撃者は、マルウェアの活動を監視し、リアルタイムで変更を加える必要もあります。ブラウザの動作を改ざんし(「Man-in-the-Browser」オーバーレイ攻撃)、「運び屋」役の口座に資金を転送します。これはWebインジェクションを介して行いますが、Webインジェクションはオンライン・バンキング・サイトや言語ごとに設計しなければなりません。金融機関を狙うマルウェアの場合、標的とする銀行を変えれば大規模な修正が必要となるため、汎用的な攻撃ツールも存在しません。

一方、ランサムウェアは、開発者が特別な手順を踏まなくても容易に利用できます。攻撃キャンペーンを現地化する際、ランサムウェアの作者に求められる作業は、身代金要求メッセージを適切な言語に翻訳することだけです。ただし中には、以下の例のようにGoogleのサービスで母国語に訳して内容を確認するようユーザに指示する怠惰な攻撃者も存在します。

資金転送時のトラブルは Bitcoinが解決

ランサムウェアへの切り替えを促進する第2の要因は、資金を容易に入手できるようになった点です。金融機関を狙う攻撃では、攻撃者が押さえている運び屋の口座に資金が転送されたとしても、資金を引き出せない、足がつくなどのリスクが引き続き付きまといます。この種の詐欺行為は、現金化の際に捕まってしまったり、単に資金転送をブロックされるなどの大きな危険を伴うのです。資金の動きの追跡や現金化をいかにして行うかが、攻撃者にとって現実的な問題として立ちふさがっています。

一方、最新のランサムウェアは、Bitcoinという仮想通貨を使用してこの問題をクリアしています。Bitcoinを使用すると、邪魔立てされずに流動資金を転送できるほか、一部のBitcoinウォレットをシャッフルすれば、関係当局が問題のトランザクションを追跡できないようになります。さらに、Bitcoinには、ATMで現金を引き出すのと同じくらい簡単に現金化できるというメリットもあります。

C&Cサーバの閉鎖は ランサムウェアには関係のない話。

金融機関を狙うマルウェアの場合、Webインジェクションとリアルタイムの資金転送のためのアクティブなチャネルが必要となります。この処理中に指令(C&C)サーバが閉鎖されれば、攻撃は失敗に終わります。

ランサムウェアは、このような問題とは無縁です。感染後も、通信回線をオープンに維持する必要はありません。ランサムウェアは、簡潔なメッセージを表示して、ターゲットに身代金を要求するだけです。ターゲットが攻撃者を突き止めようと試みても、Torによる通信の匿名化がそれを阻みます。

最近では、通信を介した暗号化キーの取得は行わず、事前に作成された公開鍵とともにパッケージ化されているランサムウェアの亜種も見つかっています。金融機関を狙うマルウェアとは異なり、ランサムウェアの場合、利益を上げるためにアクティブなC&Cサーバへの接続を確立する必要はないのです。

まとめ

以上の特徴から、ランサムウェアが攻撃者に多大な利益をもたらしている事実にも納得していただけることでしょう。ランサムウェアの利用は急速に拡大しており、今後もますます増加すると見られます。このような新手の攻撃に対処するためには、その実効性を低下させる対策を導入するべきです。マネー・ロンダリングの痕跡を探すことも有効ですが、最新の攻撃を未然にブロックできるソリューションを活用すれば、感染経路を遮断できるようになります。なお、攻撃者は常に新たな攻撃手順を生み出します。今後登場しうる、より簡単に収益化できる手法をも目を光らせる必要があります。