感染したコンピューターのファイルを暗号化して、元に戻すための金銭を要求するランサムウエアを使った攻撃に、2018年後半から大きな変化がありました。病院や公的機関を中心に甚大な被害を引き起こしたランサムウエア「SamSam」の攻撃が、急速に下火になりました。一方で、ポストSamSamと呼ばれる新しいランサムウエアが登場し、その被害が増えています。
SamSamの攻撃が少なくなった最大の要因は、米司法省が2018年11月28日、SamSamの攻撃者である2人のイラク人を起訴したからだと考えられます(図1)。起訴と同時に2人の指名手配書が公開され、1人は顔写真まで明らかになりました。彼らは起訴されたとはいえ、直ちに逮捕されるわけではありません。しかし、おおっぴらに活動しにくくなったのは事実です。
米司法省は、起訴のニュースリリースと合わせて起訴状を公開しました。ここには、被害に遭った組織のニュースリリースなどには載っていない情報が多く含まれていました。捜査機関が丁寧に集めた情報で、1次情報に準ずるもの▼として考えてよさそうです。今回は、起訴状などから分かったSamSam攻撃の全容と、ポストSamSamと呼ばれるランサムウエアを紹介します。
3000万ドル以上の損失
まずSamSamによる被害額です。複数のセキュリティーベンダーが、SamSamを使って攻撃者が得た身代金の額を推測する記事を出していました。数百万ドルとしている記事が多かったと思います。米司法省のニュースリリースでは、600万ドル(約6億6000万円)以上となっていました。
被害額に当たるのは、身代金だけではありません。データの暗号化によって業務が止まったり、システムを再構築したりするためにかかる損失もあります。米司法省は、被害者の損失を3000万ドル(約33億円)以上としています。
ニュースリリースに添付されたSamSamによる被害分布の地図を見ると、米国50州のうち、被害がなかったのは7州のみでした(図2)。ほぼ全域で被害が発生したと分かります。
事実をねじ曲げるために情報を改ざんする可能性はゼロとはいえないが、まずないだろう。
