ランサムウェアの実態や最新の状況、対策などを全4回にわたり紹介していく本連載。第1回目では、ランサムウェア歴史や最新の脅威動向などを紹介した

今回は、ランサムウェアをとりまく環境を解説するほか、「JIGSAW」という有名なランサムウェアの感染を、実例として紹介したい。このJIGSAW、非常に特徴的な脅迫活動を行うランサムウェアなのである。

【関連記事】巧妙化、凶悪化が進むランサムウェア - 最新の脅威動向を探る 第1回

ランサムウェアのビジネスモデルが確立

第1回目で紹介したとおり、ランサムウェアとは、PCやスマートフォンをなんらかの方法で使用不能状態にし、元に戻すためには身代金を払え――と要求するマルウェアだ。

ランサムウェアを使い身代金を奪う手口は、すでにビジネスモデルが確立しているともいえる。そのいくつかを見ていきたい。まず、図1-a、bがランサムウェアの販売サイトだ。

図1-a ランサムウェア販売サイト その1

図1-b ランサムウェア販売サイト その2

図1-bでは、PETYAやMISCHAの購入者を募っている。注目したいのは、画面下にあるPEYMENT SHARE。これは、購入者への支払率が定められていることを示している。このサイトでは、実際に購入したランサムウェアで週にいくら稼ぐ(つまり、身代金をせしめた)かによって、購入者への報酬が決定される。イチからランサムウェアを開発しなくても、ランサムウェアを購入することで簡単に稼げますよ、利益は販売者と分けましょうというわけだ。

分配率は下記。より多くの被害者を出せば、より儲かる仕組みとなっている。まさに経済原則に従ったシステムだ。

  • 5ビットコイン未満:25%
  • 25ビットコイン未満:50%
  • 125ビットコイン未満:75%
  • 125ビットコイン以上:85%

さらに、セキュリティ対策ソフトの検知を避けるための暗号化サービスを無償で提供する(FREE CRYPTING SERVICE)など、購入者のための特典まで用意している。もはや顧客サービスといえるだろう。

攻撃者による被害者用チャットサポートも

また、感染した被害者へのチャットサポートシステムを備えているランサムウェアもある。

図2 JIGSAWのチャットサポート

トレンドマイクロ マーケティングコミュニケーション本部の森本純氏は、「業務に使用するPCがJIGSAWに感染した、ニューヨーク在住の会社員」を装い、このチャットサポートを利用した例を解説した。

その特徴が、下記となる(全文はトレンドマイクロのブログに掲載)。

  • どうしてこんなことをという質問には、「私はあなたのファイルを取り戻すサポートをしています」と答える

  • 支払額を値切ると「24時間以内ならば、150ドルを125ドルまで下げる」と返答、すぐさま身代金を支払うよう重ねて要求する

森本氏によれば、実際にサポート要員を配置していることはまちがいないとのことだ。

販売所やチャットサポートが存在するということは、当然、コストもかかる。それでもなお存在するということは、運営していくだけの身代金による利益があがっていることを示すもの。逆な言い方をすれば、それだけ被害も発生しているということだ。

身代金を払うべきか、否か

トレンドマイクロ マーケティングコミュニケーション本部の森本純氏

また、森本氏は、身代金を支払ったことがないので事実確認はしていないという前提付きだが「身代金を支払ったユーザーに、復号キーや復号ツールが提供されたという伝聞もある」と話した。

これは、どういう意味か? これもまさにビジネス化の表れといえるだろう。つまり、身代金を払っても絶対に暗号化したファイルは戻らないという風評が一般化すれば、誰も身代金を支払わなくなってしまう。それでは攻撃者にとっては都合が悪い。

そこで、一部に対し復号ツールを提供することで「身代金を支払えば、元に戻る」と思い込ませ、収入を得ようとしていると思われる。しかし、森本氏は、どんな場合でも犯罪者にお金を払うべきではないと主張する。

また、森本氏によれば、一部のファイルのみ無料で復元させるといった記述があるランサムウェアも確認されたとのことだ。これも、一部ではあるが、復元できたことにより、本当に身代金を払えば元に戻せるのではと錯覚させている。こちらも、トレンドマイクロでは、実際に復元できたかは確認できていないとのこと。