ランサムウェアの歴史と未来－世界最初のランサムウェアはフロッピーを郵送？（ESET）[Security Days Spring 2017 レポート]

NOD32という名称で知られた時代から、現在に至るまで国内に熱心なファンの多いセキュリティソフトESET。

Security Days Tokyo Spring 2017（3月8日～10日）にあわせて来日し、基調講演に登壇した ESET 社の Core Research and Development、Senior Research Fellow、ニック・フィッツジェラルド氏は、「集中する脅威（Emerging and Conversing Threats）」と題する講演を行った。

中心となったテーマのひとつは、いま問題となっているランサムウェアの進化の歴史と今後の脅威に関するものだ。広がるIoTによってランサムウェアが、より凶悪なものになる可能性もあるという。

●1989年－シェアウェアを装った世界初のランサムウェア「AIDS」

世界最初のランサムウェアといえば「AIDS」と呼ばれるマルウェアだということを知っている人は多いだろう。2015年末あたりから国内でも被害が広がったころ、AIDSについて触れる記事、コラム、SNSへの投稿などが目立ったからだ。しかし、そのAIDSから端を発したランサムウェアがその後どんな変化をとげていったか、現在「ランサムウェア」と呼ばれるものの直接の原型はなにか、そして今後はどんな被害が問題になっていくのかを述べたものは少ない。

以下、氏の講演内容をベースにこの点を整理していこう。

まず「AIDS」と呼ばれるランサムウェアは、「AIDS Information Version 2.00」「PC Cyborg Trojan」「AIDS Trojan」などと呼ばれるマルウェアだ。最初に発見されたのは1989年12月初頭だという。ソフトウェアとしては、当時一般的だったシェアウェアの形式をとっていた。

配布方法は、当時存在していた電子メールではなく、普通の郵便によって行われた。そのため配布媒体は5インチフロッピーだった。発送元はロンドンとされているが、イタリアなど他の国から発送されたものも確認されている。郵便には取り扱い説明書も同封されていたが、その裏側のきわめて小さい文字で、次のようなことが書かれていたという。

「189ドルを支払いなさい」「このプログラムは、他のプログラムを停止させる機能を持つ。そしてPC Cyborg社に対する損害に対しては、PCの機能停止で償うことになる。」

そして、ソフトウェアをインストールすると、リブートを90回繰り返し、ハードディスク（Cドライブ）のファイルをすべて暗号化された上、読み取り専用の隠しファイルとされてしまう。システムファイルは被害を受けないが、コマンドシェルは偽物に置き換えられる（＝コマンド操作による復旧、その他の作業ができない）。

その上で「このプログラムのリース期間が切れている。再びコンピュータを利用したければ契約を更新せよ（＝身代金を支払え）」と脅してくるものだった。

AIDSは約2万コピーほど配布されたという。身代金については189ドル～397ドルまでいくつかのパターンがあった。暗号化の鍵を解読した人によって復旧できた人もいたが、ハードディスクをフォーマットしても復旧できなかった人もいた。実際の被害規模は明らかになっていないという。

●2005年 GPCode、そして2008年 WinLocker、2011年にはポリスランサムウェア「Reveton」登場

次にランサムウェアが問題になったのは2005年のGPCodeだ。AIDSのようにデータファイルを暗号化するもので、身代金はeGoldによる支払いが要求された。翌2006年にはアーカイブを使ったランサムウェア、Cryzip、MayArchiveなどが確認される。Cryzipは、いわゆるZIPアーカイブの暗号化を利用するもだ。身代金はやはりeGoldが指定された。

2008年に確認されたWinLockerは当時猛威を奮ったランサムウェアだ。データファイルではなくシステムファイルを暗号化ロックするものとして話題となった。身代金のやりとりはSMSが使われ、金額は5ドルから10ドルと少額だったのも特徴だ。しかし、2009年に逮捕されたWinLockerのグループは、1,600万ドルも稼いでいたという。少額ながら100万人単位の被害者が身代金を支払っていたことになる。

2011年にはReveton（別名ポリスランサムウェア）が流行した。これは、警察、FBIといった公的な警察組織を装ったランサムウェアで、「あなたのPCは違法なWebサイトにアクセスし、違法なファイルをダウンロードした」などと連絡し、罰金を払えと脅迫するものだ。

●2013年 CryptoLocker の「成功」がその後に影響を与える

2013年に確認されたCryptoLockerは、記憶に新しい人も多いだろう。これは攻撃側にとって相当な成功を収め、多くの亜種も作成された。そのいくつかは現在も続くランサムウェアに進化、または影響を与えており、現在のランサムウェアの直接の原型ともいえるものだ。なお、CryptoLockerに利用されたビットコインサイトのうち4つのみをチェックしただけで、総額2,780万ドルもの振込が確認されたという。

ファイルを暗号化するものだが、ビットコインを身代金のやり取りに使ったことが成功要因のひとつといわれている。金額も5ビットコインと企業にとっては応じやすい設定と、実際に復旧が可能であったということも、被害を広げることになった。

●復号キーを渡した TeslaCrypt 開発者

2014年になるとTorrentLocker、CryptoWall、CTBLockerが台頭するが、どれもがCryptLockerの亜種か画面や手法をコピーしたものだ。TorrentLockerは、脅迫画面などをCryptLockerから流用していた。身代金の支払いによってデータが復旧できることがあったという手法もコピーされている。

2015年に確認されたTeslaCryptは、もともとゲームデータを暗号化するランサムウェアだった。それがOfficeファイルなど業務用のファイルをターゲットとするようになり、被害が拡大したものだ。なお、TeslaCryptの開発者は2016年には活動をやめると宣言しているが、ある研究者が被害者を装い「（活動を中止したなら）マスターキーを教えてくれと」と頼んだところ、それを渡してくれたという。

2015年からはOS XやLinuxをターゲットとしたランサムウェアも増えている。Linux版のFilecoderは、ルート権限を奪取し、すべてのファイルを暗号化したうえ、Apacheサーバーを探し出してそのWebサイトも攻撃する。ESETが2017年2月に発見したOS X版のFilecoderはZIPを利用したMac向けのランサムウェアだそうだ。

●次の進化はIoTや複数脅威との統合

ランサムウェアの被害は、PCやスマートフォンのデータだけではない。米国のある保険会社は、解雇したプログラマにランサムウェアを仕掛けられた。不倫出会い系サイト「アシュレイ・マディソン」のアカウント情報が公開された事件も、企業に対するサイバー脅迫事件、ドクシング（Doxing：秘密情報の暴露、暴露情報による脅迫）の事例として大きく取り上げられた。MongoDBのハッキングでは1,800ものサーバー情報がロックされ、確認されただけで17人が身代金を支払っていた。

IoTの普及もさまざまな被害を生み始めている。LGのスマートテレビ（Android）がランサムウェアに感染した例。クライスラーのコネクテッドカーがインターネット経由でハッキングされた実験（メーカー対応済み）などは有名だ。また、ルーターやWebカメラがボットネット化され、大規模なDDoS攻撃に利用される事例も起きている。DDoS攻撃のボットネットが、脆弱性のあるPCから、その何倍も存在するというIoTデバイスでも作られるようになっている。

「およそネットに接続してはいけないような機器も、簡単に見つけることができる。プリンタ制御に利用されるポート（TCP9100など）を調べるだけで50万台ものプリンタを発見できる。」とフィッツジェラルド氏はいう。

攻撃者のDDoSボットネットがPCからIoTへシフトしているかのように見えるが、この点について氏の見立ては、IoTでボットネットを構築する勢力は新しい別のものとのことだ。

ドイツ、および米国では「カイラ」というAI搭載の人形が、子どもたちの会話を明確な同意なしに記録していたことが問題となった。同様な機能を持つぬいぐるみが、ハッキングされ200万件もの親子のメッセージを漏えいさせたという事件も起こっている。

IoT機器に対する脅威は各所で語られているが、フィッツジェラルド氏は、上記のような事象とランサムウェアなど、複数の脅威が組み合わさることで「Ronsomware of Things」とも呼べる状態が危惧されるとした。とくに発電所などインフラ事業者が狙われた場合、被害の大きさ、身代金の額ともに巨大なものになり深刻だという。

製品開発者、利用者ともに、IoT機器のカメラ（それは寝室にあるかもしれない）、マイクによる画像や音声、自動車のロックやブレーキなどを人質に身代金が要求される事態への対応が求められている。