全2444文字
PR

 2020年11月、ゲーム会社大手のカプコンを狙ったサイバー攻撃が国内外に衝撃を与えた。「Ragnar Locker」と名乗る攻撃者集団が同社から窃取したとする機密情報をインターネットで公開したからだ。

 同社のリリースによれば、攻撃に使われたのは「オーダーメイド型ランサムウエア」(図1)。筆者はこのランサムウエアとみられる検体を入手した。今回はこの検体の解析結果を報告しよう。

[画像のクリックで拡大表示]
図1●ゲーム会社大手のカプコンが不正アクセスの被害に
[画像のクリックで拡大表示]
図1●ゲーム会社大手のカプコンが不正アクセスの被害に
「オーダーメイド型ランサムウエア」による不正アクセスで、攻撃者は「Ragnar Locker(ラグナロッカー)」と名乗っていることを明らかにした。

脅迫状の冒頭は「やあ、カプコン」

 攻撃者集団のラグナロッカーが使ったランサムウエアもラグナロッカーと呼ばれる。入手した検体は、マルウエア検査サービスのVirusTotalにアップロードされていた(図2)。

図2●VirusTotalにアップロードされた「ラグナロッカー」
図2●VirusTotalにアップロードされた「ラグナロッカー」
ラグナロッカーが使うランサムウエアもラグナロッカーと呼ばれる。ラグナロッカーとみられるランサムウエアが2020年11月4日、マルウエア検査サービスのVirusTotalに日本からアップロードされた。
[画像のクリックで拡大表示]

 アップロードされたのは2020年11月4日で、アップロード元の場所は日本。ファイル名は「3.vmp.exe」で、11月1日にデジタル署名が付与されていた。カプコンは11月2日未明に攻撃を受けたとしているので、攻撃者は攻撃の直前にラグナロッカーを用意したとみられる。

 ファイルにはアイコンが設定されていなかった。このため、ユーザーをだまして実行させたのではなく、攻撃者が別の方法で侵入してこのファイルを実行したのではないかと推測される。

 このファイルを実行すると最後に脅迫文が表示される(図3)。脅迫文の冒頭には「HELLO CAPCOM!(やあ、カプコン)」と書かれていた。このことから、この検体はカプコン向けに作られたラグナロッカーと分かる。

図3●カプコンを名指しで脅迫する
図3●カプコンを名指しで脅迫する
今回入手したラグナロッカーが表示する脅迫文。身代金を支払わなければデータを公開すると脅している。カプコンという社名やカプコンの拠点のある場所などが記述されていることから、このラグナロッカーはカプコン用に作成されたランサムウエアだと分かる。
[画像のクリックで拡大表示]

 脅迫文の前半には「私たちはあなたたちのセキュリティーを突破し、日本や米国、カナダにあるすべてのサーバーにアクセスできるようになった」という趣旨の英文が書かれている。日本や米国、カナダはカプコンの拠点がある、もしくは以前まであった場所である

 後半には、「もし取引が成立しなかった場合は、すべてのデータを公開するか、オークションにかける」「私たちが持っているデータを確認できるサイトがある。今はプライベート設定で一時的に隠している。もし支払いがなければ公開する」という脅し文句がある。加えて、窃取データを掲載したサイトのURLとアクセスに必要なパスワードが記載されている。交渉が成立しなければ、このサイトに掲載したデータを誰でもアクセスできるサイト(リークサイト)に掲載するということだろう。