私たちは安心で安全なデジタル社会の実現を目指していますが、新たなランサムウェア被害の発生を聞かない日は残念ながらありません。警察庁が2022年9月15日に発表した「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、アンケートに回答したおよそ90%の組織が、これまでランサムウェアの被害によって業務に影響が発生したと回答しています。
ランサムウェアの被害は、システムやデータの破壊のみならず、企業のブランドイメージや取引先との信用問題にも大きな影響を与えかねません。組織においてサイバーセキュリティを担う方々は、当然ながらランサムウェアに関する最新動向を、常に把握していることが求められていると思います。
その一方で、ITやセキュリティの専門家ではない一般的なビジネスパーソンも、世の中にどのようなランサムウェアの手口が存在するのかを、ある程度知っておいたほうがいいのではないでしょうか。なぜなら、ランサムウェアは一般の方々が考えるよりも、ずっと身近に存在するものだからです。
そこで、本連載では一般的なビジネスパーソン向けに、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析したランサムウェアについて、その名称と特徴を簡単に紹介します。ランサムウェアと一口に言っても、非常に種類が多いことを理解いただけるはずです。
今回ピックアップするのは以下のランサムウェアです。
- Bisamware(バイザムウェア)
- Chile Locker(チリ・ロッカー)
- Royal Ransomware(ロイヤル・ランサムウェア)
Bisamware(バイザムウェア)
このランサムウェアはWindowsに特化したものであり、マイクロソフトの「サポート診断ツール(Microsoft Support Diagnostic Tool:MSDT)」の脆弱性を悪用するように設計されています。MSDTはMicrosoft Wordなどから呼び出せるようになっているのですが、この時に悪意のあるコードをリモートで実行されるという脆弱性があるのです。実際に、BisamwareはMicrosoft Wordファイルで配布されていたと報告されています。なおこの脆弱性は、2022年7月に提供されたWindowsの累積更新プログラムで修正されています。
このランサムウェアが実行されると、感染したマシンのファイルが暗号化され、そのファイルに「.BISAMWARE」という拡張子が追加されて保存されます。これに加えて、「SYSTEM=RANSOMWARE=INFECTED.txt」という名前のテキストファイルが残され、その中には「指定されたTORサイトのチャットルームを通じて攻撃者に連絡し、復号化キーを購入するように」といった指示が書き込まれています。
この指示にある「TOR」とは「The Onion Router」の略であり、まるで玉ねぎの皮のように、通信経路にあるノード毎に暗号化を積み重ねることで、通信経路を匿名化する仕組みです。なお本稿執筆時点で、Bisamwareが指定するTORサイトにはアクセスできません。
またこのランサムウェアには、バグがあることもわかっています。暗号化対象となった一部のディレクトリでは暗号前のファイルが削除されていない、という現象が報告されているのです。ただし、動作が不完全だというだけで、感染マシンに害を与えることは間違いありません。2022年7月の累積更新プログラムが適用されていないWindowsマシンでは、Wordファイルの受け取りに注意すべきと言えるでしょう。
ところで「Bisam」とは、英語ではIT用語の「基本索引順次アクセス方式」を意味しますが、ドイツ語ではジャコウネズミのことだそうです。攻撃者はどちらの意味でこの名前をつけ、暗号化ファイルの拡張子にしたのでしょうか?
Chile Locker(チリ・ロッカー)
このランサムウェアは比較的最近に報告されたものであり、チリのCSIRT(※)が2022年8月末に警告を発しました。
「CSIRT」は「Computer Security Incident Response Team」の略で、セキュリティを侵害する事象(インシデント)が発生した際に、必要な対処を行うチームです。CSIRTは1988年に米国カーネギーメロン大学内に初めて設置されましたが、その後は世界各地でCSIRTが作られるようになり、日本でも1996年に「JPCERT/CC」というチームが発足しています。
チリのCSIRTの報告によれば、「このランサムウェアは2022年8月25日にチリの政府サービスに影響を与えた」とのことです。しかしその後も、カナダやメキシコ、ルーマニア、中国、英国、スペイン、ウルグアイ、オランダ、ロシア、ポーランド、マレーシア、米国からChile Lockerの亜種が発見されており、名称に「Chile」がついてはいるものの、チリ政府だけを狙ったものではなかったことが判明しています。
Chile Lockerは他のランサムウェアと同様に、感染したマシンのファイルを暗号化します。暗号化されたファイルには「.crypt」という拡張子が追加されます。また「readmeforunlock.txt」というテキストファイルが残され、その中に身代金要求についてのメモが記載されています。その内容もBisamwareと同様に、「指定したTORサイトを通じて攻撃者に連絡し、取引に応じること」といったものになっています。
さらにこのランサムウェアは、感染したマシンのシャドウコピーも削除します。シャドウコピーとは、Windowsのストレージ管理機能の1つである「Volume Shadow Copy Service(VSS)」が作成するバックアップデータで、バックアップ対象のハードディスクの中身が丸ごとコピーされています。最大64世代まで遡って過去のデータを復元できますが、これが削除されてしまうと当然ながら、復元は不可能になります。そのためChile Lockerは、より悪質なランサムウェアと言えます。
Royal Ransomware(ロイヤル・ランサムウェア)
このランサムウェアは、2022年初頭からその存在が確認されています。その動作や目的は一般的なランサムウェアと同様に、感染マシンのデータを暗号化し、それをもとに戻すには身代金を払えと脅迫する、というものです。
しかし、その感染経路は被害者によってまちまちであり、1つではないようです。また、感染マシンには「readme.txt」という脅迫内容を記載したメモが残されていますが、その内容は身代金の要求だけではなく、窃取したデータを公開すると脅す「二重恐喝」になっています。このメモの中で自分たちのことを「Royal」と自称していることや、暗号化されたファイルの拡張子が「.royal」であることから、Royalランサムウェアと呼ばれています。
このランサムウェアには、いくつかの興味深い点があります。
まず、「readme.txt」に攻撃者のTORサイトが記載されており、そのサイトは2022年1月13日の時点では実存することが確認されましたが、そこにアクセスしても先程の「readme.txt」を見るように勧めてくるだけで、具体的な取引内容は記載されていないことです。
また、ランサムウェア自体はC++という開発言語で記述された、Windowsの実行ファイルになっているのですが、これを実行してファイルを暗号化するには、コマンドラインでこのランサムウェアの名称を入力し、さらに2つのパラメーターを指定しなければならない、ということです。つまりこのランサムウェアは、何らかの形で攻撃者がターゲットに侵入し、コマンドライン入力を行うことで実行されるように設計されているということです。
さらに、ランサムウェアのコードを見ていくと、実際には機能しないコードが含まれており、実行してもファイルが完全に暗号化されるとは限らないこともわかっています。つまり、ランサムウェアとしては不完全と言える状態なのです。
実は先程の「readme.txt」には、自分たちのこの行為は「ペンテストサービス」であり、セキュリティレビューを提供する用意もある、という記述もあります。「ペンテスト」とは、侵入テストを意味する「ペネトレーションテスト」を短くしたものです。
Royalの本当の目的は、いったい何なのでしょうか?
もっと詳しく知りたい方へ
今回紹介したランサムウェアは、FortiGuard Labsが隔週で公開するブログシリーズ「Ransomware Roundup」のうち、以下の記事から選定し、フォーティネットジャパンのスペシャリストが概要を平易に解説したものです。より詳細な技術情報は、以下のページをご参照ください。
Bisamware(バイザムウェア)、Chile Locker(チリ・ロッカー)
「Ransomware Roundup:BisamwareとChile Locker」(Shunichi Imano および James Slaughter、2022年9月29日)
Royal Ransomware(ロイヤル・ランサムウェア)
「Ransomware Roundup:Royalランサムウェア」(Shunichi Imano および James Slaughter、2022年10月13日)
