ランサムウェアとしての見方
先述したように、ランサムウェアは古くからあるマルウェアだ。かつてはコンピュータを人質に取りながらも、身代金の支払いに銀行口座への振り込みを指定するなど、サイバー犯罪とは言い切れないほど古典的なものだった。それがインターネットの普及やコンピュータの処理能力の向上といった変化を背景に、長い時間かけて進化し、現在は個人も企業や組織も恐怖に陥れる存在になる。
岡本氏によればその転機になったのは、攻撃者がファイルを暗号化したり復号したりする鍵をマルウェア内部ではなく、外部のコマンド&コントロール(C2)サーバに置くようになった2013年頃という。「それ以前はマルウェア内部にある鍵を発見できればコンピュータを回復できたが、2013年頃に出現したCryptoLockerが、ランサムウェア攻撃によるサイバー犯罪を確立するターニングポイントになった」(岡本氏)
攻撃者は、巧妙に隠ぺいしたC2サーバに鍵を置くことで、被害者が簡単にコンピュータを回復できないようにさせた。さらに、ビットコインをはじめとする仮想通貨で身代金を支払う仕組みを導入し、身代金を簡単かつ高い確率で入手(収益化)できるようにした。
近年のランサムウェアは、ネットワークに接続されたファイルサーバなどのデータも暗号化する。企業や組織では事業に必要な多くのデータが使用不能になり、事業停止に追い込まれる事態が増加。攻撃者にとっては、不特定多数の個人のPCをむやみに狙うより、事業停止を恐れる企業や組織に標的を絞って脅迫する方が、はるかに効率よく身代金を稼げる状態になっていく。
岡本氏によれば現在のランサムウェアは、サイバー犯罪者にとって最も容易かつ収益性の高い手法になり、ビジネスとして確立されつつある。
具体的には、ランサムウェアを開発するプログラマー、ランサムウェアのプログラムをネットで販売するブローカー、プログラムを拡散する攻撃者、身代金の回収者といったように分業体制が構築され、これらの役割(機能)を有償のネットサービスとして提供するプロバイダーもいる。「ランサムウェアビジネスに加担する人間は、被害者から獲得した身代金を役割に応じて分配している」(岡本氏)
アンダーグラウンドではランサムウェアを使うさまざまなサイバー犯罪のツールやサービスが売られている(画像はトレンドマイクロ提供)
ランサムウェアが、攻撃手法としても犯罪ビジネスとしても確立された矢先に出現したWannaCryは、ランサムウェアとしての顔では専門家が指摘するように未熟だったとしても、もう1つの高度なワームとしての顔が、ランサムウェア自体の脅威を高めたといえそうだ。
なお岡本氏によれば、ランサムウェアをワーム型の手法で拡散させるアイデア自体は、WannaCry以前からあったという。「例えば、『CERBER』と呼ばれるランサムウェアはセキュリティシステムの検知を逃れる機能が特徴的だった。攻撃者がリモートのコンピュータをランサムウェアで攻撃するには、標的に侵入してマルウェアをコピーし、実行する必要がある。WannaCryより前はコピーまではできても、実行ができず難しかった。それがバックドアを組み合わせることで実現した」(岡本氏)