ランサムウェアの隆盛期とも言われる今日、感染件数、亜種数ともに世界全体で増加の一途を辿っています。チェック・ポイントの研究者が約2年にわたって継続しているランサムウェアの調査からは、興味深い実態が明らかになっています。

ランサムウェアの動向の追跡や、各ファミリー間の共通点と相違点の特定は容易です。一方、新型のランサムウェアが登場するたびに、新たなセキュリティ対策が開発され、しばらくするとその回避機能を備えたランサムウェアが現れるため、ランサムウェアとの戦いは、まるでイタチごっこの様相を呈しています。

ランサムウェアの先駆者

ランサムウェアには多くの亜種が存在し、実行フローはファミリーごとに異なります。しかし、すべてのファミリーで共通する特性も備えており、セキュリティ・ベンダーは有効な保護機能を見極め、開発することが可能です。

ランサムウェアの先駆けとなったのは、CryptoWallというマルウェアです。以下に示すとおり、このマルウェアは、既知のWindows用バイナリを使用して暗号化や指令(C&C)サーバとの通信を行います。ポリモーフィック型という性質に基づく他の手法と組み合わせて、シグネチャ・ベースのアンチウイルス製品による検出を容易に回避していました。

図1 - CryptoWall 3および4の亜種のコンテキスト実行ツリー

LockyTeslaCryptは、さらに高度な検出回避手法を備えていました。実行時にコードを変更してAPIコールを偽装し、研究者やサンドボックスによる静的な分析をミスリードします。マルウェア全般では目新しい手法ではありませんでしたが、ランサムウェアでは比較的遅いタイミングで採用されました。

図2 - TeslaCryptの亜種:フォレンジック用シグネチャ

図3 - Lockyの亜種の実行ツリー

その後、まったく新しいタイプのランサムウェアも登場するようになりました。いずれも従来とは異なる手法を備え、セキュリティ対策における新たな課題をもたらしました。代表格としては、PetyaやHydraCrypt、Cerberなどが挙げられます。

図4 - HydraCryptの実行ツリー – すべてのドライブ文字のシャドウ・コピーの削除

ランサムウェア・ファミリー間の共通点

実装の面では若干の違いが見られますが、多くの特徴が初期のランサムウェア・ファミリーの間で共通しています。以下にその特徴を示します。

  • Windows用バイナリの挿入済みインスタンスを実行して大半の不正活動を行う
    • Windows用の一般的なバイナリを使用し、シャドウ・コピーを削除して復元を阻止する
    • Windows用バイナリ(Notepad.exeやフォト・ビューアーなど)やブラウザを使用して身代金要求メッセージを表示する
    • WindowsレジストリのRUNおよびRUNONCEキーやWindowsのスタートアップ・フォルダを使用して永続性を確保する
  • 最初のサンプルを削除して詳細な分析を回避する
  • C&Cサーバとの間で暗号化キーのやり取りを行う
  • テキストやHTMLを含む、2~3種の形式で身代金要求メッセージを表示する
  • 後続のインスタンスで暗号化を実行する

2016年は「家庭向け」ランサムウェアが横行

ランサムウェアの動向に対する関心が高まり、そこに大きなビジネス・チャンスを見出した多くのマルウェア開発者により、「家庭向け」ランサムウェアという新しい波が生まれています。彼らは、ランサムウェア開発には魅力的な利点がいくつか存在すると考えています。アノニマイザーのおかげで検出されるリスクが比較的低く、しかもランサムウェアのコーディングがシンプルなのです。実際、大半のコードがGitで、すなわちサービスとして提供されています。MSDNのようなコード提供サービスも利用できます。Windowsの暗号化APIを使用してファイルを適切に暗号化するためのコード・サンプルを入手できるため、作業が一層簡素化されます。とはいえ、「家庭向け」ランサムウェアの攻撃者の多くは怠惰であったようです。

JigsawやBadlock、Kovterなどランサムウェアでは、解読不可能な暗号化や高度な検出回避などの能力開発に多くの労力は費やされませんでした。「よりシンプルに、より怖く、ほどほどに」というのが攻撃者のモットーのようです。実際、能力開発への投資に消極的な反面、恐怖心を煽る画面の表示には熱心でした。このような「家庭向け」ランサムウェアによる暗号化は容易に破れますが、平均的なユーザは対処法を知らないため、十分な収益が見込めるのです。

過去に登場した「プロ仕様」のランサムウェアとは異なり、これら後発のランサムウェアはシャドウ・コピーの削除や自身の削除を行わず、高度な検出回避機能も備えていません。その代わり、どの種も独自のバイナリを使用して活動を行います。他のバイナリを挿入することも、使用することもありません。

図5 - Jigsaw

新たに台頭する新型ランサムウェア

「家庭向け」ランサムウェアに続き、すでに名が知られており、今後主流となりそうな種も存在します。この新しい波としては、SamSamMaktubCTB-Locker、最近ではCryptXXXなどのランサムウェアが該当します。そのほとんどは高度にパッケージ化され、コードの断片が難読化されています。

これらのランサムウェアの亜種の間で最もよく見られる特徴としては、独自のインスタンスを作成せず、すでに実行中のバイナリを使用して不正活動を行う点が挙げられます。このようなバイナリは非常に一般的で、さまざまなタスクの実行に使用されているため、ランサムウェアの検出はますます困難になっています。

図6 - Chimera

図7 - CTB-Locker

今後のランサムウェアの動向

現時点で、ランサムウェアの今後を予測するのは困難です。しかし、他のマルウェアと比較して、ランサムウェアが今後も進化し、戦術を変えていく可能性を十分に秘めている点は間違いありません。即応性・適応性・シンプルという、セキュリティ脅威の本質を顕著に体現しているのがランサムウェアなのです。ユーザが常に優位に立てるように、私たちはランサムウェアの動向に引き続き注視していきます。