ITパスポート試験 用語辞典

ランサムウェア
【Ransomware】
他人のコンピュータのデータを勝手に暗号化してデータにアクセスできないようにし、元に戻すための復元プログラムを買うように迫るマルウェア。たとえ金銭を支払ったとしても暗号化が解除される保証はない。
身代金(ransom)とウェア(ware)を合わせた造語である。
↓ 用語データを見る
分野:
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ
出題歴:
H25年春期問62 H28年春期問61
重要度:
(Wikipedia ランサムウェアより)

ランサムウェア(Ransomware)とはマルウェアの一種である。これに感染したコンピュータはシステムへのアクセスを制限される。この制限を解除するため、マルウェアの作者へ身代金の支払いが要求される。数種類の形態のランサムウェアは、システムのハードディスクドライブを暗号化し(暗号化ウイルス恐喝)、また他の幾種類かは単純にシステムを使用不能にし、ユーザーに対して身代金を支払うようにそそのかすメッセージを表示する。

こうしたプログラムは当初ロシアで有名だったが、ランサムウェアを用いた詐欺は国際的に成長してきた。2013年6月、セキュリティソフトウェア企業のマカフィーはあるデータを公表した。これは2013年の第1四半期において25万個以上におよぶランサムウェアのサンプルを収集したものである。この数は、2012年第一四半期で得られた数の2倍以上である。サイバー犯罪は金になる市場だということが周知されるにつれて、ランサムウェアのビジネスへの移行が激化し、法秩序に一層大きな課題を提示している。

動作

ランサムウェアは旧来のワームのようなトロイの木馬として典型的に増殖する。例えば、ダウンロードされたファイルか、ネットワークサービスの脆弱性を介してシステムに侵入する。その後、プログラムはペイロードを実行しようとする。一例としては、ハードディスクドライブの個人的なファイルを暗号化し始める。より巧妙なランサムウェアはランダムな共通鍵と固定の公開鍵による複合型暗号で被害者のプレーンテキストを暗号化するかもしれない。そのマルウェアの作者は、秘密の復号鍵を知っている唯一の人物である。いくつかのランサムウェアのペイロードは暗号化を行わない。そのケースでは、ペイロードは単純にシステムの相互作用を制限するアプリケーションとなっている。典型的にはウィンドウズシェルの設定によるものや、マスターブートレコードやパーティションテーブル(修復されるまでオペレーションシステムの起動を完全に妨害する。)を変更するものがある。

ランサムウェアは、システムのユーザーから金を奪い取るためにスケアウェアの要素を利用する。そのペイロードは、企業や警察を称する者から発せられた通知を表示する。通知内容はシステムが違法な活動に使用されていた、またはシステムからルノグラフィまたは海賊版ソフトウェアやメディアのような違法なコンテンツが見つかった、と虚偽の主張をするものである。いくつかのランサムウェアのペイロードは、Windows XPのマイクロソフトライセンス認証の通知を模倣し、コンピュータのウィンドウズが偽造された、または再アクティベーションが必要である、と虚偽の主張をする、もしくはUkashやPaysafecardのようなオンライン決済金券サービスが用いられる。

歴史

暗号化ランサムウェア

初めて存在が知られたランサムウェアは、1989年、ジョセフ・ポップによって作られた「AIDS」というトロイの木馬(「PC Cyborg」という名称でも知られている)である。そのペイロードは、ソフトウェアの特定部分を使用するライセンスの有効期限が切れていると主張し、ハードディスクドライブのファイル名を暗号化し、システムを解除するには「PC Cyborg Corporation」へ189米ドルを支払う必要があるとユーザーに主張する。ポップは自身の行為の裁判で精神異常であると宣告されたが、彼はマルウェアで上げた利益をエイズの研究資金に使うと約束した。このような攻撃に公開鍵暗号を用いる概念は、1996年にアダム・L・ヤングとMoti Yungによって紹介された。AIDSトロイは対称鍵暗号を使用していたために効果的でなかったことと、RSA暗号とTEA暗号を使ったMacintosh SE/30向けの概念証明型ウイルスが公開されたことが信じられている。ヤングとユンはこの攻撃が「暗号化ウイルス恐喝」になり、顕在的な攻撃が、顕在的および潜在的な攻撃の両方を包含する、暗号化ウイルス学と呼ばれる分野における、より大きなクラスの攻撃のひとつであると言及した。

猛威を振るったランサムウェアの例は2005年5月に顕著になった。2006年中ごろには、Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip、MayArchiveなどのプログラムが、より巧妙なRSA暗号と増え続ける鍵の長さを活用し始めた。2006年6月に検出されたGpcode.AGは、660ビットのRSA公開鍵で暗号化を行った。2008年6月には、Gpcode.AKとして知られる変種が検出された。1024ビットのRSA鍵を用い、それは分散コンピューティングの力を借りなければ、計算時間の面から見て打破し得ないほど長い鍵だと考えられている。

2014年にはNASを標的としたランサムウェア「SynoLocker」が確認され、Synology製NASのOS「Synology DSM」が古いバージョンのまま更新されていないものに攻撃が広がっているとしてエフセキュア社が注意喚起している。

非暗号化ランサムウェア

2010年8月、ロシア当局はWinLockとして知られるランサムウェアワームに接続した10名を逮捕した。先述したGpcodeとは違い、WinLockは暗号化を行わない。その代わり、単にポルノ画像を表示してシステムへのアクセスを制限する。それから制限を解除するコードを受け取るため、ユーザーに有料SMS(およそ10米ドル)を送るかどうか尋ねる。この詐欺はロシアと周辺諸国に多数発生した。犯行グループは1600万米ドルを稼いだと報じられている。

2011年には、ユーザーに対し、「詐欺の被害者」となったため、ウィンドウズを再アクティベーションする必要があると通知する、マイクロソフトライセンス認証を模倣するランサムウェアワームが発生した。このプログラムはオンラインでのアクティベーションを提示するがそれは不可能であり、ユーザーに数字6文字のコードを入力するため、6種類提示される国際電話番号のうち1種へ電話するよう要求する。このマルウェアは通話が無料であると主張するが、国際電話料金が高額な国の不正なオペレータを経由し、ユーザーに巨額の長距離電話料金を発生させる。

2013年2月には、Stamp.EKエクスプロイトキットに基づいたランサムウェアワームが発生した。このマルウェアはプロジェクトホスティングサービスのSourceForgeとGitHubを通じて配布され、有名人の「偽のヌード写真」を提供すると主張する。2013年7月には、OS Xに特化したランサムウェアワームが発生した。これは、ユーザーがポルノグラフィをダウンロードしたと告発するウェブページを表示する。ウィンドウズベースの類似品と違い、コンピュータの動作全体を阻害しないが、単に普通の方法でページを閉じるのを諦めさせるため、ウェブブラウザの動作を利用する。

2013年7月には、バージニア州出身の21歳の男性がランサムウェアを受け取った後に警察へ出頭した。彼は児童ポルノを所持していると告発する、偽のFBIからの警告を受けていた。捜査の後に、本当に彼のコンピュータから未成年の女性の写真と、彼女たちと不適切なやりとりをしたことが発見され、彼は児童ポルノの所持と児童性的虐待の罪で告発された。

著名な攻撃

Reveton

2012年、Revetonの名で知られる有名なランサムウェアが拡散し始めた。Citadelトロイをベースとし(それ自身はZeusを基にしている)、そのペイロードは警察を自称する者からの警告を表示し(このことから「警察トロイ」のニックネームが付いた)、海賊版ソフトやルノをダウンロードしたなどの違法行為にコンピュータが使われたと主張する。このプログラムの発する警告は、ユーザーにシステムを解除するにはUkashやPaysafecardなどの匿名プリペイドキャッシュサービスによる金券を使い、罰金を払う必要があると通知するものである。コンピュータが警察に探知されているという錯覚を強めるために、スクリーンにIPアドレスも表示され、同時にユーザーが十分に記録されているという錯覚を与えるためにコンピュータのWebカメラの映像をいくつか表示する。

Revetonは当初、2012年初期に多数のヨーロッパ諸国で拡散した。このマルウェアに関して一般人に注意を促す声明において、ロンドン警視庁は調査の一環として、このような方法でコンピュータをロックしないことを明確にした。当局は、誰かが児童ポルノをダウンロードまたはアップロードしているという容疑がある時、逃げるか証拠を処分する時間を与えるような警告を容疑者に与えることはない。

2012年5月には、トレンドマイクロの研究者がアメリカとカナダ向けの変種のテンプレートを発見した。それは、変種の作者が北米のユーザーを標的とする計画の恐れについて示唆していた。2012年8月には、新しいRevetonの変種がアメリカで拡散し始めた。これはGreen Dot Corporationカードを使って200米ドルの罰金を払う必要があると主張するものである。

CryptoLocker

CryptoLocker
2013年、暗号化ランサムウェアは「CryptoLocker」として知られるワームとともに再出現した。CryptoLockerは悪意あるEメールの添付ファイルか、ドライブバイダウンロードによって配布される。最初はC&Cサーバに接続を試み、その後2048ビットのRSA公開鍵と秘密鍵のペアを生成し、その鍵をサーバにアップロードする。その時このマルウェアは、ユーザーが2048ビットのRSA鍵でアクセスできるすべてのローカルまたはネットワークストレージドライブにあるデータを暗号化しようとし、標的となるファイルをホワイトリストまたは拡張子で検出する。公開鍵がコンピュータに保存されたとき、秘密鍵はC&Cサーバに保存される。CryptoLockerは、ユーザーが鍵を取り戻してファイルを復号するには、MoneyPakカードかビットコインを使って支払いをするよう要求し、3日以内に支払いがなければ秘密鍵を削除すると脅す。極めて大きなサイズの鍵が使われているために、アナリストはCryptoLockerに侵されたコンピュータを修復することはきわめて難しいと考えている。

出題例

正解 

「情報セキュリティ」の用語

「セキュリティ」の他の分野

「テクノロジ系」の他のカテゴリ

このページのWikipediaよりの記事は、ウィキペディアの「ランサムウェア」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。


Pagetop