時事セキュリティが5分でわかる 第21回

ITジャーナリスト三上洋がセキュリティトレンドを分析

ランサムウェアがビジネス化して、信用を重視しはじめてきた

アフィリエイト感覚のお金儲け手段と化したランサムウェア
〈三大潮流その3〉

　2015年の暮れから今年にかけては、当初「vvvウイルス」と言われていたものを筆頭に“ファイルを暗号化して読めなくしてしまう”ランサムウェアの被害が顕著です。

　基本的な使われ方は、マルウェアなどが勝手にパソコンの記憶領域の一部を暗号化してしまい、「暗号化を解除して欲しければお金を払え」とデータを人質代わりにして身代金を要求するものです。

　問題は、ランサムウェアを販売・仲介する会社が存在しており、犯人はランサムウェアを自作するのではなく、その会社と契約してランサムウェアを入手し、バラまくだけなのです。（被害者との）お金のやり取りを代行する仲介業者まで存在しています。犯罪ツールはTorを通じて売買されており、いわゆるダークネットと呼ばれる裏市場がTor上に作られているのです。

2015年、ランサムウェアの被害は全世界で急増した

　犯人側からしてみると、これは一種のアフィリエイトのようなもので、会社と契約してランサムウェアをバラまくだけでお金儲けできるんですよ。一旦感染させてしまえば、暗号化したファイルを戻す云々のやり取りから金銭の回収まで仲介会社が担当してくれる。その代わり、仲介会社は寺銭を取るわけです。

「サイバー犯罪の巧妙化、そして日本に特化した攻撃の増加が見て取れます」

　日本を標的にしたい場合は、入手したランサムウェアの脅迫文部分などを適宜日本語化するだけなので、極めて安易に実行できてしまう。当然、日本語のランサムウェアも登場しています。海外では2014年から問題になっていましたが、日本では2015年後半～現在でも猛威を振るっています。

　ちなみに、セキュリティ業界で論点になっているのが、“ランサムウェアの被害を受けたときに、お金を支払うべきか否か？“という問題です。我々も、ランサムウェアに関する記事を書くとき、「お金を支払っても元に戻るとは限りません。そして、支払うことによって犯罪者にお金を渡す、つまり犯罪に加担することにもなるので、お金を支払うべきではありません」と結論づけてきました。

　ところが、企業PC内のファイルが全部暗号化されちゃいました。仕事になりません、となったときに、たとえばビットコイン300ドル分を支払うことで元に戻るというなら、支払ったほうがいいかもしれないんですよ。実際問題として、最近のランサムウェアはお金を支払うと、元に戻る可能性が高いのです。

　つまり、テロ行為ではなく金銭目的の犯罪なので、被害者のデータを本当に壊してしまっては意味がないんです。

　先ほど解説したように、すでに仲介ビジネスと化しているので、信用が必要なのです。ランサムウェアを作成した仲介業者からすると『お金を支払ったらちゃんと元に戻る』という風評が広まってくれたほうが都合良いわけです。

　現状は変な話、ランサムウェアは信用第一になっておりまして（笑）、ほとんどの場合、お金を支払うことで元に戻っちゃいます。というわけで、このへんは論点になっていますね。

　「じゃあ、どうすればいいのですか？」というと、一部のランサムウェアについてはセキュリティ企業や研究者が、金銭を支払わなくても戻す方法を提供しています。全部ではありませんが。もし自分が感染してしまった場合は、セキュリティ企業に問い合わせたり、あるいは脅迫の手口や文章をググると、戻す方法がみつかるかもしれません。

マンツーマンで対処してくれる専用サービスも存在する

　それでもどうにもならないときは、支払うことも選択肢の1つかもしれません、ということです。しかしながら100％元に戻る保証はありませんし、そのお金が犯罪者に渡ってしまうということも考慮に入れるべきですね。

　今回紹介した3つの話題からはサイバー犯罪の巧妙化が見て取れます。分業化が進んでよりシステマチックになり、上手く騙してお金を騙し取る仕組みになっています。発覚しにくく、それでいてシステマチックなサイバー攻撃が、日本をピンポイントに狙っています――2016年度も引き続き要注意すべきでしょう。