2020年11月、ゲーム会社大手のカプコンを狙ったサイバー攻撃が国内外に衝撃を与えた。「Ragnar Locker」と名乗る攻撃者集団が同社から窃取したとする機密情報をインターネットで公開したからだ。
同社のリリースによれば、攻撃に使われたのは「オーダーメイド型ランサムウエア」(図1)。筆者はこのランサムウエアとみられる検体を入手した。今回はこの検体の解析結果を報告しよう。
脅迫状の冒頭は「やあ、カプコン」
攻撃者集団のラグナロッカーが使ったランサムウエアもラグナロッカーと呼ばれる。入手した検体は、マルウエア検査サービスのVirusTotalにアップロードされていた(図2)。
アップロードされたのは2020年11月4日で、アップロード元の場所は日本。ファイル名は「3.vmp.exe」で、11月1日にデジタル署名が付与されていた。カプコンは11月2日未明に攻撃を受けたとしているので、攻撃者は攻撃の直前にラグナロッカーを用意したとみられる。
ファイルにはアイコンが設定されていなかった。このため、ユーザーをだまして実行させたのではなく▼、攻撃者が別の方法で侵入してこのファイルを実行したのではないかと推測される。
このファイルを実行すると最後に脅迫文が表示される(図3)。脅迫文の冒頭には「HELLO CAPCOM!(やあ、カプコン)」と書かれていた。このことから、この検体はカプコン向けに作られたラグナロッカーと分かる。
脅迫文の前半には「私たちはあなたたちのセキュリティーを突破し、日本や米国、カナダにあるすべてのサーバーにアクセスできるようになった」という趣旨の英文が書かれている。日本や米国、カナダはカプコンの拠点がある、もしくは以前まであった場所である▼。
後半には、「もし取引が成立しなかった場合は、すべてのデータを公開するか、オークションにかける」「私たちが持っているデータを確認できるサイトがある。今はプライベート設定で一時的に隠している。もし支払いがなければ公開する」という脅し文句がある。加えて、窃取データを掲載したサイトのURLとアクセスに必要なパスワードが記載されている。交渉が成立しなければ、このサイトに掲載したデータを誰でもアクセスできるサイト(リークサイト)に掲載するということだろう。