「ランサムウェア」とは一般に、感染するとユーザーのコンピュータ内にある任意のファイルを暗号化し、元に戻すための暗号解除アプリケーションを売りつける、いわば身代金要求型不正プログラムである(ランサム = 身代金)。近ごろは、これに偽セキュリティソフトを絡めた多重アプローチが見られるようになり、より手の込んだ不正活動が目立つようになってきた。(筆者注1)
2012年9月28日、FBIはテネシー州東部でもレヴェトン(Reveton)」名を名乗るランサムウェアの被害が広がっている旨市民に警告を再度流している。その犯罪手口の具体的内容は本文で述べるが、本年5月30日、米国のサイバー犯罪に関する苦情申立窓口機関であるIC3(Internet Crime Complaint Center)は米国やカナダにおけるレヴェトンの手口を詳しく紹介した。
一方、ほぼ同時期の2012年5月、セキュリティ専門会社であるトレンドマイクロの研究員はPC破壊工作ウィルスソフトを法執行機関の警告メッセージで始まることから「警察をかたるトロイの木馬(Police Trojan)」と名づけた。
この“Police Trojan”」は2011年に西ヨーロッパのドイツ、スペイン、フランス、オーストリア、ベルギー、イタリアや英国のユーザーをターゲットとして広がった。
本ブログは、同犯罪の手口の内容を紹介するとともに、そのような勧誘ウェブサイトに遭遇したときにユーザーが被害者にならないための留意事項を述べておく。
1.ランサムウェアの犯罪手口
IC3はランサムウェアをもぐりこませるための新しいシタデル・マルウェア・プラットホーム(Citadel Malware platform)「レヴェトン」を認識した。ランサムウェアは不正な自動ダウンロード(drive-by download)の仕組みを用いて犠牲者をダウンロード用ウェブサイトに釣る。そのときにランサムウェアはユーザーのPCにインストールされる。一旦このマルウェアが設定されるとPCはフリーズし、その画面にはユーザーは連邦法に違反したと表示される。そこでは、さらにユーザーのIPアドレスはIC3によりチャイルド・ポルノやその他違法な内容先にアクセスしたと明言する。
被害者はそのロック状態を解除するため“Ukash” (筆者注2)や“Paysafecard” (筆者注3)というプリペイド・マネーカード・サービスを使って連邦司法省に罰金100ドル(約7,800円)を支払うよう命じられる。
ユーザーのIPアドレスの地理的位置は、どのような支払いサービスが命じられるかを決める。ランサムウェアに加え、シタデル・マルウェアは危険さらされたコンピュータに作用し続け、さらにオンライン・バンキング詐欺やクレジットカード詐欺を犯すときにも用いられる。
2.被害を認識したときのユーザーの対処策
もしウィルスに感染していると判断されるときは、マルウェアの削除を各地方のコンピュータの専門家に連絡する必要がある。
そのためには、次のような対処策が考えられる。
①IC3サイト(www.IC3.gov.)に苦情申立するとともに、同サイトで「ランサムウェア」に関する説明の最新更新版を探す。
②マルウェアを削除するため、地方のコンピュータの専門家に連絡する。
③少額といえども、絶対にお金を支払ったり、個人情報を提供しないこと。
④自分でPCのフリーズが解除できたとしても、まだマルウェアが裏で作動しているかもしれないことを忘れないこと。
⑤キーストローク・ログ・プログラムを介して、ユーザー名、パスワード、クレジットカード番号等を得ることが知られている。
3.裏話(補足)
“Network World”はランサムウェアに関し、次のような記事を補足している。
2012年2月にIDG News ServiceグループのPCworldは、シタデル・マルウェアの製作者がオープンソース開発モデルを採用したことから急速に広がった旨公表した。
シタデルは、最も古くかつ人気が高いオンラインバンキング・トロイの木馬の1つである「ゼウス(Zeus)」をベースにしている。ゼウスは2010年後半に製作者により権利放棄され、そのソース・コードはその数ヵ月後にオンラインで漏えいした。公共の場にリリースされた後、ゼウス・コードは“Ice Ⅸ(Ice 9)”(筆者注4)や「シタデル」等他のトロイの木馬の開発の基礎となっている。
したがって、親マルウェアと同様にシタデルは犯罪違法クライムウェア・ツールキット(crimeware toolkit)は 闇市場において売買されている。このツールキットを用いて詐欺師は彼らのニーズ、コマンドやコントロールインフラ等に関しカスタマイズ設定が可能となる。
***************************************************************************************
(筆者注1) トレンドマイクロ・Security blogの説明から一部抜粋した。その他の解説としては次のようなものもあげられる。
「ランサムウェアとは、マルウェア(悪意のあるソフトウェア)の一種で、ユーザーのデータを「人質」にとり、データの回復のために「身代金」(ransom)を要求するソフトウェアのことである。
ランサムウェアの多くは、トロイの木馬としてパソコン内部に侵入し、勝手にファイルを暗号化したり、パスワードを設定したりして、正常にデータにアクセスできないようにしてしまう。ユーザーがデータにアクセスしようとすると、アクセスが不可能になっていることを警告し、正常にアクセスできるよう復元する(復号鍵やパスワードを教える)ための対価として、ユーザーに金銭を支払うように要求する。」(IT用語辞典バイナリから抜粋)
(筆者注2) “Ukash”はオンラインショッピングを現金決済できる、引換券形式の支払いシステムです。Ukash引換券は、認可された店舗にて、現金やその他のクレジット形式にて購入することができます。Ukash引換券はヨーロッパの何千という店で購入することができます。(NETELLERサイトのFAQ解説から一部抜粋)
(筆者注3) “Paysafecard” は、オンライン ショッピング用のプリペイド カードです。このカードを使用することで、カード保有者は安全かつ簡単に決済を行うことができます。カードは、たばこ屋、ガソリンスタンド、家電販売店、指定のインターネット カフェで容易に購入できます。個人情報、家計の状況、銀行口座、クレジット カード番号などの質問に回答する必要はありません。(E-cash directサイトの解説から一部抜粋)
(筆者注4) Ice 9は、メモリ常駐型のファイル感染ウイルスで、.COMファイルに感染するが、COMMAND.COMには感染しない。 感染すると、Ice 9ウイルスは、1,136バイトの終了後常駐型(TSR)プログラムとして、低位のシステムメモリに常駐するようになり、割り込み21をフックする。また、いったんメモリに常駐すると、.COMファイルが実行されるか開かれた場合に、そのファイルに感染する。(McAfee の解説から抜粋)。
**************************************************************************************
Copyright © 2006-2012 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます