暗号化ランサムウェアのマネタイズ

ここ数年間、仮想通貨、ダークWeb(Dark Web)、きちんと整備された犯罪者向けアフィリエイトプログラムという形で、破壊的な状況を招くように技術およびインフラの連携が取られてきた。

エフセキュア研究所ニュース, サイバーセキュリティ, ネットワークセキュリティ, ビジネスセキュリティのベストプラクティス // 2016-06-09

ここ数年間、仮想通貨、ダークWeb(Dark Web)、きちんと整備された犯罪者向けアフィリエイトプログラムという形で、破壊的な状況を招くように技術およびインフラの連携が取られてきた。そしてその状況から現れたのが、暗号化ランサムウェアというけだものだ。

暗号化ランサムウェアが毎日のように報じられるのには理由がある。ここ何年かの間に目にした他のどの脅威と比べても、独特のものだからだ。暗号化ランサムウェアは被害者に実際にサービスを提供する。身代金を支払えば、ファイルを取り戻せるのだ。また派手な事例を見聞きすることも増えている。これぞ、人々がまさに行っていることなのだ。ある病院がインフラを復旧させるためにBitcoinで大枚をはたいたという最近の事例について、思い出させるには及ばないだろう。暗号化ランサムウェア業界は、毎年1億ユーロ相当の収益を得ているとの見積もりがある

犯罪者にとって、暗号化ランサムウェアは引き続き実入りの良い金儲けの手段であり、時間の経過とともに、バンキング型トロイの木馬のような他のマルウェアのモデルから取って代わり続けている。あらゆるビジネスと同様に、モデルの投資利益率の最適化や改善に焦点がシフトするのは必然的なことだ。我々は今日のランサムウェア・キャンペーンのビジネスモデルを、インターネット時代の幕開け期のものになぞらえている。つまり、いまだに本質的に非常にシンプルで、大方は目を向けていないのだ。結論としては、まだまだたっぷりと創造性とイノベーションの余地が残されている。暗号化ランサムウェアの背後にあるビジネスモデルは、徐々に成熟しており、我々が最近になって気付いた、あるイノベーションの試みがある。

厳選した暗号化ランサムウェア・キャンペーンでは、とりわけ米国、英国、オーストラリア、カナダといった「第1階層」の国を標的にする。このような標的を選定したことは、支出に見合う価値という観点で理にかなっている。ランサムウェア自体をローカライズする必要はないし、標的の人口動態は相対的に裕福で、一部の研究ではこの地域の被害者は実際に身代金を支払う意思があることが示されている。

フィッシング詐欺のキャンペーンでは、別の芸当を目にした。地域に特化して注意深く調整を行い、時にはカレンダー上の行事に合わせているのだ。当社が観察した、スウェーデンで実施されたスパムキャンペーンを例に挙げると、被害者は地元の郵便局からの到着した荷物についての、説得力のあるメッセージを受け取っていた。この種の標的型の地域限定のスパムキャンペーンは目新しいものではないが、搾取率を高める目的でキャンペーンを調整したマルウェアの担い手もいる。

一部の暗号化ランサムウェア・ファミリーでは、被害者が支払いを行いやすくなることを期待して、サポートのインターフェイスの向上に取り組んできた。サポートサイトはより直感的に理解できるようになり、(PadCryptなど)ライブチャットのインターフェイスを持つケースもある。Bitcoinの入手方法、Tor経由でサポートサイトへ接続する方法、ファイルを取り戻す方法についての説明が、より明確になり、またより適切に提示されるようになっている。驚くようなことではないが、暗号化ランサムウェアのサポートサービスは、多くの場合において、合法的な企業が運営するものよりも優れている。余談だが興味深いことに、被害者のファイル群の復号を手助けする目的で、顧客のためにBitcoinのブローカービジネスを始める、独立系のITサポート要員も確認している。

TrueCrypterファミリーはAmazonギフト券での支払いに対応している。またiTunes Cardでの支払いを受け付けている暗号化ランサムウェア・ファミリーも見聞きしている。これは犯罪者にとってはリスキーな手立てだと考える人もいるだろう。AmazonやAppleが、これらのカードを使った人物を簡単に追跡できるであろうからだ。判明したところでは、犯罪者たちはただちにギフト券をeBayのようなサイトに流す傾向にある。これの購入者が、帰結する結果に対処するように仕向けるのだ。米国のiTunes Storeに豪華なコンテンツ・セットがあれば、ヨーロッパで米国ベースのiTunes Cardへの要求があるだろう。

もう1つの驚くべき方向性として、ある暗号化ランサムウェア・ファミリーが、被害者に圧力をかけて強制的に支払わせようとしていることをつかんだ。我々は最近Jigsawファミリーに遭遇したのだが、これは身代金が支払われない限り、1時間おきに消し去るファイルの数を増やしていく。全ファイルが削除される締め切りまでに、被害者には72時間が与えられる。機器を再起動したり、強制的にエージェントを殺すと、直ちに1000個のファイルが削除される。こうした戦略は、テレビや映画で見てきたような人質の状況と変わりない。残念なことに、特定の戦略によって人々の支払いが増すのか減るのかを判定できるようなデータを、我々は現時点で提供できない。

jigsaw_ransom

身代金をお支払いくださいますか?

これまでに挙げた例では、暗号化ランサムウェアの背後にいる人物らが、いかにさまざまなビジネスモデルを試して、投資利益率を向上させようと取り組んでいるかを示している。犯罪者たちは、大規模なランサムウェア・キャンペーンでは、気付かれてしまい、やられることを学習している。少なくとも、CryptoLockerの裏にいる人物たちは数年前に学んだ。そのため彼らは最近では、すべてより小規模にキャンペーンを実施している。しかし小規模のキャンペーンというのは、巨大な法執行機関のレーダーをかいくぐるためだけに重要なわけではない。個々の感染したコンピュータや、個々の送付されたスパムメッセージのために支払いを行わなければならない世界において、利益を最大化することにとっても重要なのだ。

当社では最近、もし暗号化ランサムウェアの被害者になってしまったら、ファイルの復号にいくら払う意思があるかをユーザに尋ねるアンケートを実施した。

Screen Shot 2016-06-06 at 2.00.44 PM

(訳注:「このアンケートに基づくと… 暗号化ランサムウェアが1 BTCではなく0.5 BTCを請求した場合、ほぼ3倍以上になる。」という意味)

ショーンがこのアンケートを実施した時点で、数多くの身代金は約1 BTC、つまりちょうど400ドルであった。単純な計算を行えば、上の結論に達する。半額にすれば、収益を約3倍にできる。上述の調査を行って結論を導き出すのには、過大な負荷はかからなかった。実装するのにたいしたプログラムの行数さえ必要なかった。これらのツイートで一部のマルウェアの作者に情報を与えてしまったかは定かでないが、最近、身代金が低価格化している傾向をつかんでいる。

ただ、この情報を手に入れたランサムウェアの作者ばかりではなかったようだ。ほんの数日前、新たな種族の暗号化ランサムウェアが出現した。これは身代金を義援金だとうたっている。しかしながら、5 BTC、つまり記事を書いている時点で約2,200ドルなのだ。だいたいの人はそんなに気前よくない、と我々は思う。

この先いつの日か暗号化ランサムウェアで用いられる価格体系に、より高度で洗練されたものが適用されているのを見ることになると予期している。現時点では、当該ソフトウェアはかなり知力を欠いていて、すべての感染したマシンで身代金を固定額で設定している。我々はある時点で変動価格体系がお目見えすると予想している。おそらく暗号化されるファイルの数や種類に基づくなり、マシンが個人所有のコンピュータかサラリーマンが使っているものかをソフトウェアが検知するなりするのだろう。1 BTCという身代金は大半の個人にとってはちょっと高額だが、多くの企業にとっては微々たる金額だ。

数多くの暗号化ランサムウェア・ファミリーはすでにネットワーク共有にも感染させるように試みているが、インテリジェントな方法で行っているものはない。理論上、被害者は1回支払えば、ネットワーク共有のファイルも含め、全ファイルを取り戻せる。この理由から、開発者たちがソフトウェアに知能を組み込んで、より効率的にネットワーク中に伝播させるのを、我々は目撃することになると予期している。感染させるマシンの数を増やし、再度触れるが、環境に応じて身代金の額を決めるのだ。

クライムウェアのアフィリエイト・ネットワークやマルウェア・キャンペーンの裏にいる人物たちは、すでにビジネス的な判断力の旺盛さを示している。こうした人達がもうけ、つまり投資利益率を最大化する仕事を与えられたとき、価格体系や、使いやすさ、ネットワークでの伝播、あるいはスマートな標的選定に基づき、ソフトウェアやプロセスのモデルをより創造的に考案することは、想像に難くない。近い将来、暗号化ランサムウェアで使われるビジネスモデルとマネタイズモデルの双方で、洗練度が増すのを見る羽目になるのを我々は十分に予想している。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中