マルウェア
闇市場とサイバー犯罪:「RaaS」 ランサムウェアのサービス化
アンダーグラウンドマーケット(闇市場)ではサイバー犯罪の実行に必要な「ツール」や「サービス」が売買されています。本記事では「RaaS」と呼ばれるランサムウェアサービス(Ransomware as a Service)とはどのようなものであるか、その実例を元に解説します。
一般に「サイバー犯罪」は、特殊なスキルを持った犯罪者集団により行われるものと考えられているかもしれません。しかし、インターネットから直接アクセスできない不正サイト、所謂「ダークウェブ」にアクセスすることさえできれば、アンダーグラウンドマーケット(闇市場)においてサイバー犯罪の実行に必要な「ツール」や「サービス」を購入できます。中でも「RaaS」と呼ばれるランサムウェアサービス(Ransomware as a Service)は、サイバー犯罪に使用する不正プログラムが誰にも容易に調達できるようになっていることを示す、特徴的な例と言えます。本記事では「RaaS」とはどのようなものであるか、その実例を元に解説します。
「RaaS」とは
RaaS とは Ransomware as a Service の略であり、不正プログラムのランサムウェアを「サービス」として提供するものです。「サービスの利用者」はこの RaaS を使って、新たなランサムウェアを簡単に作成することができます。ランサムウェアの最大の目的は被害者に身代金を払わせることです。RaaS のシステムでは支払われた身代金は RaaS の提供者と利用者であらかじめ決められた割合により山分けにすることになります。これが RaaS の仕組みの中でも最も重要と言える部分です。この仕組みにより、RaaS の利用者は自身でランサムウェアを作成する手間を省いて簡便に金銭目当ての攻撃を開始することができ、逆に RaaS の提供者は自身の手を汚すことなく金銭を手にすることができます。
RaaS の実例:「SATAN」
トレンドマイクロではダークウェブの調査の中で、「SATAN」と名乗る RaaS を確認しています。この「SATAN」は 2017 年 1 月に存在が確認されて以降、1 年以上にわたり匿名ネットワーク TOR 内の同一サイト上で稼働を続けていました。「SATAN」を提供するサイト上の説明には、これが Windows 上で機能するランサムウェアであることが明記されています(トレンドマイクロ製品では「Ransom_SATANA」などとして検出)。
また、サインアップしてアカウントを作成することで自分用のランサムウェアを入手可能であり、このランサムウェアの感染被害者が支払った身代金の3割をサービス提供側の取り分とすることも明記されています。つまり、サービス利用者側の取り分は全体の7割と言うことですが、このように利用者の方が多くを得る分配率にすることで、より多くのサイバー犯罪者に興味を持たせようとしているものと考えられます。また、「SATAN」のランサムウェアを入手するだけならアカウントを作成するだけで可能であり、サービス提供者への支払いなどの「初期費用」は必要ありません。ランサムウェアを入手するだけなら誰でも無償で可能、とも言えます。
ランサムウェアを作成する画面では、要求する身代金の額や、何日間経過後に身代金が何倍になる、などの設定が可能となっています。一定期間経過後に身代金の額を上げる方法は、期限を区切って被害者に支払いを迫る一般的なソーシャルエンジニアリング手法であり、ランサムウェアでは常套手段となっているものですが、「SATAN」でも標準の機能となっています。
またこの画面内では、これまでに利用者が作成し拡散させたランサムウェアの感染件数や、これまでに支払われた身代金の額なども確認可能となっています。RaaS の利用者は、この画面上で自身のビットコインアドレスを指定し、「分け前」をもらうことができるようにもなっています。
「SATAN」の様々な特徴
「SATAN」ではランサムウェアを作成するだけでなく、実際の攻撃を行うにあたって使用可能な様々な手口にも対応しています。その 1 つは暗号化ツールです。現在の攻撃ではセキュリティ製品による検出を困難化するために、1 つの不正プログラムに様々な形式の暗号化や圧縮を行って表面上のコードが異なる「亜種」を作成する手口が常套化していますが、「SATAN」でも事前の暗号化と使用時の復号を行うためのツールを提供しています。以下の図は簡単な XOR(排他的論理和)による暗号化をかけるためのスクリプトを提供している「SATAN」サイトの画面です。登場当初の確認では、スクリプトの種類として PowerShell と Python が用意されており、実行方法まで書かれていました。
このページ内では暗号化したランサムウェアのファイルはダウンロード用のサーバに置き、ドロッパーによりダウンロードさせる手法を説明すると共に、ドロッパーの作成にも対応しています。これは最近のメール経由攻撃では、不正プログラムを直接添付せずにドロッパーを添付し、侵入が成功した場合にそのドロッパーによって最終目的の不正プログラムを侵入させる、といった手口がとられることが多いことに対応したものと言えます。
また興味深い機能として、身代金の要求メッセージ(ランサムノート)の多言語対応があります。この RaaS ではオリジナルの英語版ランサムノートの文言に対して翻訳文を登録する機能があります。つまりサービス利用者の協力を受けてランサムノートの対応言語を増やしていく仕組みになっています。登録された言語のメッセージはサービス提供者の承認を受けたあと、感染後に表示されるランサムノートに追加されていきます。
2017 年 1 月の確認以降、「SATAN」はその機能を活発に更新してきました。検出回避のための暗号化機能も順次更新され、より複雑な UPX や WinUpack など「パッカー」と呼ばれる自動実行型圧縮への対応が行われました。また 2017 年 11 月以降には「MS17-010」脆弱性の攻撃コード(エクスプロイト)である「Eternal Blue」によるネットワークワーム活動を順次取り入れています。「SATAN」の RaaS で提供されるランサムウェアについて、2018 年 1 月から本記事執筆時点(5 月 15 日)までの全世界での検出状況を確認したところ 200 件弱の検出がありました。そのうち 6 割がイタリアの法人利用者、およそ 3 割がトルコの法人利用者からの検出であり、日本からの検出はありませんでした。2018 年に入り、海外におけるランサムウェアの攻撃は、不特定の一般利用者を狙うばらまき型の攻撃よりも攻撃範囲を絞った法人利用者を狙う攻撃での被害が目立っていますが、この「SATAN」の検出からも同様の傾向が見出せるようです。
このように1年以上にわたって活発に活動していた「SATAN」ですが、この 5 月に入り本ブログ記事公開前に確認したところ、RaaS サイトがアクセス不可となっていました。サイトの移転、もしくはサービスの終了が考えられます。
今回紹介したRaaS「SATAN」を見ると、使用しやすい簡潔なデザインのサイト上で容易にランサムウェアを作成することができ、検出回避のための機能も用意されるなど、ランサムウェアを利用した攻撃の難易度を劇的に下げる存在であるとわかります。このように、ダークウェブや闇市場では誰でも不正プログラムなどのサイバー犯罪に必要なツールや情報が入手可能です。この数年、日本では不正プログラムに関わる未成年者の逮捕事例が毎年発生している状況です。そのような状況の背景の 1 つには、今回紹介した RaaS のように、ダークウェブにアクセスさえできれば不正ツールや情報が容易に入手可能な実態があるものと言えます。
被害に遭わないためには
一般的にランサムウェアなどの不正プログラムは、電子メール経由か Web経由で PC内に侵入します。そもそもの侵入を止めるため、この 2 つの経路での侵入を検知する対策製品の導入が重要です。
メール経由の攻撃では、受信者の興味を引き添付ファイルを開かせる手口は常に変化していきます。最新の攻撃手口を知り、安易にメールを開かないよう注意してください。また、そもそも不審なメールを可能な限りフィルタリングし、一般利用者の手元に届かないようにする対策も重要です。
Web 経由の攻撃ではクライアント側の脆弱性を利用し正規サイトを見ただけで感染させる手口が主流です。ブラウザや Adobe Flash、Java などインターネット利用時に使用するアプリケーションのアップデートを必ず行ってください。
ランサムウェアによるデータ暗号化被害を緩和し、早期の復旧を行うためにも定期的なデータのバックアップが重要です。バックアップの際には 3-2-1 ルールを意識してください。3 つ以上のバックアップコピーを、可能なら 2 つの異なる書式で用意し、そのうちの 1 つをネットワークから隔離された場所に保管してください。
また、今回紹介した「SATAN」でも「MS17-010」脆弱性を攻撃に取り入れていましたが、攻撃手法の中で既存の脆弱性を利用する手法は常套化しています。脆弱性対策として Windows や使用ソフトを常に最新に更新することを欠かさず行うと同時に、更新が行えない場合の代替防護手段も考慮してください。
トレンドマイクロの対策
トレンドマイクロでは、法人利用者、個人利用者それぞれにランサムウェア対策を提供しています。
法人利用者では、複数のレイヤーを複数の技術で守る、多層防御が特に効果的です。防護のポイントとして、メール、Webなどのゲートウェイでの防御、エンドポイントでの防御、内部ネットワークとサーバでの防御が特に重要です。ゲートウェイでの防御としては、「InterScan Messaging Security™ Virtual Appliance」、「Trend Micro Hosted Email Security」、「Cloud Edge™」などのメール対策製品や、「InterScan Web Security™ Virtual Appliance & InterScan Web Security Suite Plus」などの Web 対策製品が有効です。メール対策製品「Deep Discovery™ Email Inspector」や「Trend Micro Cloud App Security™」などで使用可能なサンドボックス機能も未対応のランサムウェアの検出に有効です。
法人向けのエンドポイント製品「ウイルスバスター™コーポレートエディション XG」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「FRS」技術によりウイルス検出と同時に、挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。特に「ウイルスバスター™コーポレートエディション XG」はクロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。
ネットワーク型対策製品「Deep Discovery™ Inspector」は、「脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。
個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、「FRS」技術によるウイルス検出、挙動監視機能(不正変更監視機能)により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。同時にスパムメールの検出や、不正なURLをブロックすることによって、総合的な保護を提供します。
※調査協力:日本リージョナルトレンドラボ(RTL)