PR
全2963文字

 ランサムウエアの被害はいまだ衰える気配がない。2018年から2019年にかけて、米アップルや米ボーイング、ノルウェーのアルミニウムメーカーであるノルスク・ハイドロなどの大手企業がランサムウエアに感染した。海外では2019年だけで数百の自治体や医療機関、教育機関が被害に遭った。

 国内でも日本マクドナルドやホンダといった大手企業をはじめ、神戸大学や神奈川大学などの教育機関、川崎市や町田市などの自治体がランサムウエアに感染した。これら公になっているケースは氷山の一角であり、実際はその数倍の被害が水面下で起きていると想定される。

 ランサムウエアに感染すると、ユーザーのファイルは暗号化され、復元と引き換えに身代金を要求される。今回は、ランサムウエアのように金銭目的で脅迫するマルウエアを取り上げる。

支払いには仮想通貨を利用

 ランサムウエアに感染したパソコンには、画面に脅迫文(ランサムノート)が表示される。例えば2017年に猛威を振るったWannaCryは、GUIのウインドウに脅迫文を表示した(図1)。

図1●2017年に猛威を振るったWannaCryの脅迫文
図1●2017年に猛威を振るったWannaCryの脅迫文
ファイルを暗号化したことや、元に戻すには指定した金額を支払う必要があることなどが書かれている。タイマーを表示して支払いを焦らせたり、一部のファイルを復元できる機能を用意して信用させたりする工夫が凝らされている。
[画像のクリックで拡大表示]

 脅迫文には、ユーザーのファイルを暗号化したことや、身代金の金額とその支払い方法などが記されている。支払い方法には、暗号資産(仮想通貨)を指定することが多い。WannaCryは仮想通貨のビットコインを指定する。仮想通貨がよく利用されるのは、匿名性が高く足が付きにくいからだろう。

支払わせるための工夫の数々

 WannaCryの脅迫文には、タイマーと復元機能が付いている。

 タイマーは身代金の支払期限までの残り時間や、身代金の金額が増えるまでの残り時間などを表示する。WannaCryは、感染から3日経過すると要求金額が2倍になるとしている。ユーザーを焦らせて、正常な判断をしづらくさせるためだろう。

 復元機能とは、身代金を支払う前に、暗号化されたファイルの一部を復元する機能である。ファイルを元に戻すデモンストレーションによって、身代金を支払えば元に戻ると信用させるための機能だとみられる。

様々タイプの脅迫文

 WannaCry以外のランサムウエアの脅迫文も見てみよう。

 2019年に感染被害が目立ったLockerGogaの脅迫文は、感染したパソコンにテキストファイルで置かれる(図2)。タイマーや復元機能はない。その代わり脅迫文には、攻撃者に早く連絡すれば身代金が安くなることや、一部のファイルをメールで送れば復元して送り返すことなどが書かれている。

図2●テキストファイルの脅迫文が置かれるLockerGoga
図2●テキストファイルの脅迫文が置かれるLockerGoga
タイマーや復元機能はないが、早く連絡すると要求金額が安くなるように思わせたり、一部のファイルを送れば復元して送り返したりするなど、WannaCryと同じように金銭を支払わせるための工夫が見られる。
[画像のクリックで拡大表示]

この記事は有料会員限定です

「日経NETWORK」定期購読者もログインしてお読みいただけます。

日経クロステック有料会員になると…

専門雑誌8誌の記事が読み放題
注目テーマのデジタルムックが読める
雑誌PDFを月100pダウンロード

有料会員と登録会員の違い