ランサムウェアの感染事例が最近になってヨーロッパ地域で頻発していますが、こうした傾向は、現状に巧みに対応できるサイバー犯罪の柔軟性を物語っているともいえます。FAKEAVに対する法的機関の取り締まり強化に伴い、サイバー犯罪者たちの中でもいくつかのグループは、同じように金を稼ぐことができる別の手口を見い出す必要に迫られ、そうした手口の1つとして、もともとロシアで猛威をふるっていたランサムウェアが利用され始めているのでしょう。トレンドマイクロでは、ロシア以外のヨーロッパ地域において突然ランサムウェアの感染事例が増加した背景には、「サイバー犯罪者たちのFAKEAVからの撤退」も影響しているのではないかと見ています。

ランサムウェアとは、どのような手口を用いる不正プログラムですか?

ランサムウェアとは、感染したコンピュータを“人質”にとってしまう不正プログラムのことです。そしてこの“人質”を盾にユーザに対して金銭の支払いを要求したり、特定の指示に従うことを強要したりします。具体的には、侵入したコンピュータで実行されると、ユーザによるコンピュータへのアクセスが制限されることになります。場合によっては、アクセス制限と共に特定のメッセージを繰り返し表示させて“身代金”の支払いや特定行動をユーザに強要するケースもあります。また、侵入したコンピュータのハードドライブ内のファイルを暗号化してしまう亜種も存在します。こうしたファイルの暗号化によってコンピュータは全く使いものにならなくなるため、ユーザは、パスワードあるいはファイルの解読と引き換えに、金銭の支払いを命じられることになります。

最近、サイバー犯罪者たちは、この手口を行使する際の支払い手段として、英国企業運営の「Ukash」やオーストリア拠点の「PaySafeCard」といったオンライン決済を使用していることも確認されています。また、ランサムウェアを利用した攻撃がロシアで頻発していたという点は上述のとおりです。

実際、ランサムウェアは、どの程度までヨーロッパ地域で頻発し始めているのでしょうか?

ランサムウェアの感染事例は、もともとロシアに集中していましたが、最近になって、この攻撃がヨーロッパの他の諸国にも及んでいることが明らかになっています。

例えば、フランスで有名な製菓店のWebサイトが改ざんされ、このサイトを閲覧したユーザがランサムウェアの亜種の1つに感染してしまうという事例が20122月下旬に確認されています。この事例の場合、改ざんされたサイトを閲覧したユーザは、「TROJ_RANSOM.BOV」という検出名のランサムウェアに感染し、「Gendarmerie Nationale(フランス国家憲兵隊)」からを装った文書のウインドウが表示され、「法に抵触したため支払いを命じる」という記述と共に、コンピュータ自体が作動不能として“拘束”されてしまうことになります。同様の事例は、ヨーロッパの他の国でも発生しており、「Belgian eCops(ベルギー政府コンピュータ犯罪ユニット)」や「German Bundespolizei(ドイツ連邦警察局)」からを装った「支払いを命じる文書」が表示され、コンピュータが“拘束”されてしまいます。前者は「TROJ_RANSOM.BPA」、後者は「TROJ_RANSOM.WI」として検出されます。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」からのデータを集計した表が下記のとおりですが、ここからも、ランサムウェアの攻撃がヨーロッパ各国に拡散していることが把握できます。

図1: ランサムウェア感染数の国別データ

ランサムウェアの感染がロシア以外のヨーロッパ諸国に広がってきている理由は何でしょうか?

ランサムウェアの攻撃がヨーロッパの他の諸国にも広がってきた理由としては、FAKEAVに対する取り締まり強化に伴い、この手口による偽セキュリティソフト購入用のオンライン決済の利用が困難になってきたため、多くのサイバー犯罪者たちがランサムウェアの方へ乗り換え始めたということがあげられます。実際、2012123日、ロシア警察は、有名なオンライン支払いサイト「ChronoPay」の共同創業者であるPavel Vrubelvsky逮捕に至っています。彼は、FAKEAVに関連する支払い手続きなどにおいても重要人物と見なされていました。複数の記事で、FAKEAV活動に関する彼の関わりを報じています。ロシア警察の報告でも、Mac OS向けの偽セキュリティソフトとしても有名な「MacDefender」を含め、複数のFAKEAV関連犯罪へのChronoPayの関与を明らかにしています。

そしてランサムウェアの場合は、「Ukash」や「PaySafeCard」といった別のオンライン決済の方法を利用しているため、乗り換えも合わせてランサムウェア感染事例の増加につながったものと予想されます。こちらの支払い方法を利用すれば、ヨーロッパの感染被害者に金銭を支払わせることが比較的簡単にできます。

FAKEAVへの取り締まり強化とランサムウェアの増加は、やはり関連しているでしょうか?

偽セキュリティソフトをインストールさせて金銭を得るFAKEAVの手口は、それ自体において主犯となるリーダーや、開発者、中間管理的な役割を果たす人物など、多数の人々で構成されている“業界”でもあります。こうした状況において、この“業界”のキーパーソンの逮捕劇を含めた法的機関による一連の取り締まり強化は、いまや「ビジネスモデルとしてのFAKEAV」にとって大きな危機となっています。このビジネスモデルが膨大な利益を生み出していたことを考えると、FAKEAV“業界”への一連の打撃は、数多くのサイバー犯罪者たちを別のアンダーグラウンドビジネスへと乗り換えさせるのに十分な理由といえるでしょう。つまり、別のアンダーグラウンドビジネスとしてランサムウェア“業界”の方が成長していくことになり、その結果、ランサムウェアの感染事例がロシア以外のヨーロッパ諸国でも頻発するようになったと考えられます。

では、サイバー犯罪者たちは、なぜFAKEAVから乗り換え先としてランサムウェアを選んだのでしょうか?

FAKEAVもランサムウェアも、アンダーグラウンド市場のビジネスモデルとしては、非常に大きな利益を生み出すことができる手口としてサイバー犯罪者たちの間で周知されており、その点では、ランサムウェアは「FAKEAVからの乗り換え先」としても適当だといえます。むろん双方とも、それぞれの特徴に応じた利点や欠点があり、たとえば、ランサムウェアでは「Ukash」や「PaySafeCard」のオンライン決済が使用されますが、これは匿名での支払いが可能であり、これは、FAKEAVでの支払い方法ではなかった利点であり、多くのサイバー犯罪たちが支持した部分だといえます。下記は、「手口」や「アフィリエイトのビジネスモデル」、「拡散方法」の観点から両者を比較した一覧表となります。

FAKEAV ランサムウェア
手口 偽の感染警告やスキャン結果を表示し、不安になったユーザに偽セキュリティソフトの購入を促す。 デスクトップ上に警告を表示し、ユーザがコンピュータ内のファイルへアクセスするのを制限する。ファイルが暗号化されてしまうケースもある。ファイルを“人質”にして支払いを強要する。
アフィリエイトのビジネスモデル ぺイ・パー・インストール(PPI)による支払い。既存のアフィリエイトとは異なるFAKEAVアフィリエイトのネットワークも存在する。既存のアフィリエイトは、偽セキュリティソフトの購入ごとに報酬が得られるが、PPIは、偽セキュリティソフトのインストールごとに報酬が得られる。 既存のアフィリエイト・ネットワークが利用される。その場合、ランサムウェアに関わるサイバー犯罪者は、ランサムウェアのインストールごとにも報酬が得られる。
拡散方法 KOOBFACE」などのボットネットによりFAKEAVアフィリエイトを活用して拡散される。また、SEOポイズニングを利用して拡散される場合もある。 ランサムウェアが組み込まれた正規サイト、もしくはアダルトサイトなどを介して拡散される。

ランサムウェアの感染事例の増加は、ユーザ側としてどのように捉えるべきでしょうか。

FAKEAV“業界”の衰退に伴い、ランサムウェア感染事例が増加した」という事実は、サイバー犯罪者たちが状況に応じて直ちに別の手口に乗り換えることができる柔軟性と敏捷性を備えていることを示しています。FAKEAVに対する一連の取り締まり強化や逮捕劇は、大きな効果をあげ、賞賛されるべきことですが、他方、これによってサイバー犯罪そのものが完全に撲滅するわけではない点も、肝に銘じておくべきでしょう。ユーザ側としては、サイバー犯罪の被害に見舞われないためにも、これまでと同様、インターネット閲覧活動やコンピュータの取り扱いには細心の注意を払うことが不可欠です。

今回のような脅威から身を守るためにユーザ側はどのような注意が必要でしょうか?

不正なリンクには十分注意すること。ランサムウェアの感染被害は、通常、不正なWebサイトを介してもたらされます。その意味では、スパムメール等に含まれている不審なリンクは絶対にクリックしないことです。目的のサイトを閲覧する際は、リンクを直接クリックするのではなく、URLの文字列をコピーしてブラウザのアドレスバーに貼り付けるなどの方法をとるべきです。また、信頼すべきサイトやよく知られたサイトは、事前にブックマークしておき、必ずそのブックマークを介して閲覧することをお勧めします。

脆弱性等に関する定期的更新を怠らないこと。Blackhole Exploit」などを駆使した脆弱性利用のランサムウェアも確認されており、その点では、最新の修正パッチを適用し、そうした脆弱性利用からコンピュータを守ることが不可欠です。また、ユーザ側で脅威に関する最新情報に精通しておくことも非常に重要です。どのような脅威があり、どのような手口が使われているかを知っておくという教育的な取り組みも、ユーザ側の対策としては有効です。最新情報に目を通し、脅威状況を把握しておくことによって、新たな手口による被害に見舞われるリスクを最小限に抑えることができます。

トレンドマイクロ製品は、この脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection NetworkSPN」は、「E-mail レピュテーション」技術により、今回の脅威に関するスパムメールがユーザに届く前にブロックします。また、「Web レピュテーション」技術により、ユーザがアクセスする前に、ランサムウェアなどの不正プログラムがダウンロードされる不正Webサイトをブロックします。さらに、「ファイルレピュテーション」技術により、ランサムウェアの亜種に関連するすべての不正ファイルの実行を防ぎ削除します。

トレンドマイクロの専門家からのコメント:

今回のようなランサムウェアに関する攻撃から、「ユーザを脅して金銭をせしめる」という、ある意味、最も単純かつ直接的な手法が、いまだ十分な効果を発揮していることが理解できます。実際、ランサムウェアの感染被害で各ユーザが脅しとられる金額自体はそれほど高額ではないのでしょう。ただし、膨大な数のユーザが被害に見舞われる中、結果的には、集められる金銭も膨大になります。その膨大な金銭は、より巧妙な手口でより破壊的な被害をもたらすサイバー犯罪の開発資金に費やされ、やがてはユーザの身に降り掛かってくることになるでしょう。

-     シニア・スレット・リサーチャーRobert McArdle

関連マルウェア