セキュリティ企業Forcepointの研究者らが、2016年に最も猛威を振るったランサムウェアの1つである「Locky」の進化の過程をまとめた。それを見れば、そうしたツールの進展がいかに高度なものとなってきたが分かるはずだ。
ランサムウェアは、インターネットにおける最大の脅威の1つとして挙げられるまでになっている。このファイルを暗号化するマルウェアの総被害額は1年間で10億ドルにのぼるとの分析もある。
サイバー犯罪者にとって、ランサムウェアは大いに利益を生み出す手段となっているものの、法執行機関やセキュリティ企業がランサムウェアへの取り組みを強化しているなか、ランサムウェアの開発者らもその裏をかいて順応していく必要がある。
Forcepointの研究者は、猛威をふるっている暗号化型ランサムウェアの1つであるLockyの進化の過程をまとめた。
ランサムウェアの被害に遭ったユーザーは、身代金の支払いを済ませるまで自らのファイルにアクセスできなくなる。Lockyの場合、身代金をBitcoinで要求するため、攻撃者は法執行機関から身元を特定されにくくなっている。なお、要求される身代金の額は通常、0.5~1Bitcoin、すなわち400~800ドル程度だ。
セキュリティ企業Check Pointは、Lockyが11月時点において、世界で2番目にまん延しているマルウェアだと述べるとともに、複数の異なるグループがLockyの亜種を広めているようだと述べている。
最初にLockyが確認されたのは2月のことだが、それ以来このランサムウェアは機能を増やし続けている。一例を挙げると、Lockyは今ではフィンランド語からベトナム語に至るまでの30種類の言語で身代金要求を表示できるようになっている。
Lockyは6月までに、自動化されたセキュリティツールによる検出から逃れるために、マルウェア分析処理の裏をかく機能を搭載するとともに、新たなファイル拡張子を使用するようになった。
そして7月には、コマンド&コントロール(C&C)サーバと通信できない場合を想定し、内部に記述されたRSA鍵を用いたオフラインでの暗号化機能を搭載した。また9月の初めには、C&Cサーバを一切使用せず、オフラインでのみ暗号化を行うLockyのサンプルが確認されるようになった。さらにその月のうちに、Lockyを拡散させていたグループの1つが、新しいトロイの木馬型ダウンローダを使用するようになった。このダウンローダは、9月の初めにロシアのアンダーグラウンドフォーラムで広告が出されていたものだ。
Forcepointの主席セキュリティアナリストCarl Leonard氏は、Lockyが2016年に大きな脅威となったのは、常に拡散テクニックを変化させていることによるものだと述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
