ランサムウエアの被害はいまだ衰える気配がない。2018年から2019年にかけて、米アップルや米ボーイング、ノルウェーのアルミニウムメーカーであるノルスク・ハイドロなどの大手企業がランサムウエアに感染した。海外では2019年だけで数百の自治体や医療機関、教育機関が被害に遭った。
国内でも日本マクドナルドやホンダといった大手企業をはじめ、神戸大学や神奈川大学などの教育機関、川崎市や町田市などの自治体がランサムウエアに感染した。これら公になっているケースは氷山の一角であり、実際はその数倍の被害が水面下で起きていると想定される。
ランサムウエアに感染すると、ユーザーのファイルは暗号化され、復元と引き換えに身代金を要求される。今回は、ランサムウエアのように金銭目的で脅迫するマルウエアを取り上げる。
支払いには仮想通貨を利用
ランサムウエアに感染したパソコンには、画面に脅迫文(ランサムノート)が表示される。例えば2017年に猛威を振るったWannaCryは、GUI▼のウインドウに脅迫文を表示した(図1)。
脅迫文には、ユーザーのファイルを暗号化したことや、身代金の金額とその支払い方法などが記されている。支払い方法には、暗号資産(仮想通貨)を指定することが多い。WannaCryは仮想通貨のビットコインを指定する。仮想通貨がよく利用されるのは、匿名性が高く足が付きにくいからだろう。
支払わせるための工夫の数々
WannaCryの脅迫文には、タイマーと復元機能が付いている。
タイマーは身代金の支払期限までの残り時間や、身代金の金額が増えるまでの残り時間などを表示する。WannaCryは、感染から3日経過すると要求金額が2倍になるとしている。ユーザーを焦らせて、正常な判断をしづらくさせるためだろう。
復元機能とは、身代金を支払う前に、暗号化されたファイルの一部を復元する機能である。ファイルを元に戻すデモンストレーションによって、身代金を支払えば元に戻ると信用させるための機能だとみられる。
様々タイプの脅迫文
WannaCry以外のランサムウエアの脅迫文も見てみよう。
2019年に感染被害が目立ったLockerGogaの脅迫文は、感染したパソコンにテキストファイルで置かれる(図2)。タイマーや復元機能はない。その代わり脅迫文には、攻撃者に早く連絡すれば身代金が安くなることや、一部のファイルをメールで送れば復元して送り返すことなどが書かれている。