【事例から学ぶ「有効な不正対策」】　ランサムウェアの被害拡大

ランサムウェアの被害拡大
ファイルを取り戻したければ、お金を支払え
EUROPEAN FRAUDSTERS SAY
PAY UP OR YOUR COMPUTER AND FILES ARE GONERS!

　エンドユーザーが感染したウェブサイトへアクセスしたり、悪意のある添付ファイルをダウンロードしたりすると、ランサムウェアはコンピュータやファイルを乗っ取り、金銭を要求する。欧州から米国、さらには世界中を駆け廻る極悪なマルウェアと如何にして戦うべきか。

Robert E. Holtfreter, Ph.D., CFE, CICA
Tiffany McLeod
翻訳協力：中島尚幸

　ある日の夕方、スージー・ドゥーク（Suzie Duke）は翌日に控えた重要なプロジェクトの打合せの作業をするため、自宅のコンピュータにログオンした。情報を収集するためにウェブサイトにアクセスすると、コンピュータはロックされ、スクリーンにメッセージが表示された。連邦法に違反したため、罰則金３００ドルをMoneyPakカードで支払えば、コンピュータの解除コードを入手できるというＦＢＩからと推測されるメッセージがスクリーンに表示された。彼女がアクセスしたウェブサイトはウィルスに感染していて、ウェブサイトを閲覧したときに、コンピュータに感染した。

　スージーはＩＴ部門の同僚に電話をしたが、つながらなかった。混乱した彼女は、MoneyPakカードを購入した。他のプログラムにアクセスできなかったが、ランサムウェアに感染したスクリーンでMoneyPakアイコンに支払コードを入力することはできた。もちろん、金銭回収を行う犯罪組織に支払コードが転送されてしまった。その後、犯罪組織から解除コードが送られてくることはなく、彼女のコンピュータはロックされたまま、プログラムにもアクセスすることができなかった。彼女はランサムウェアを取り除いてくれるコンピュータ技術者に連絡をした。

　スージーは、急速にまん延する非常に効率的な詐欺の被害者となったのである。事実上、不正実行者は、コンピュータをさらい、プログラムを人質にとり、ロックを解除する身代金を要求したのである。

　我々は他社にも該当する、この事例について最近知りました（被害者の名前は変更しています）。２０１２年、特に東欧の国々で、ウィンドウズを基本としたコンピュータに急速に広まるランサムウェアの不正による被害者の懐を空にした。今年に入り、米国を含む諸外国に普及している。

戦争：身代金とおびえ　（THE ‘WARES’: RANSOM AND SCARE）

　ランサムウェアは”スケアウェア（scareware）”不正と深く関連しており、２０１１年のFRAUDマガジンの記事でも２度取り上げている。（http://tinyurl.com/c98yz8n and http://tinyurl.com/c6w95on）。犯罪組織はランサムウェア及びスケアウェアのどちらのスキームでも、強奪戦略を用いて被害者を混乱に陥れることで、現金や個人情報（PII）をだまし取るという同じ台本に基づいている。

　スケアウェアの犯罪組織の典型的な手法は、ユーザーにコンピュータが危険なウィルスに感染しているという通知を突きつける。その通知は、被害者をウィルス駆除の”無償”プログラムへ誘導し、さらに、今後もウィルスを予防するための、一般的に４０ドルから５０ドルの、少額費用の支払いを求められる。ユーザーが支払いを終えると、通知は消えるが、そのプログラムはパスワード、クレジットカード番号、銀行口座記録等のPIIを内密に収集する。ランサムウェアはスケアウェアの典型的なパターンに基づき、さらに悪質さを増している。ランサムウェアの形式にもよりますが、プログラムをダウンロードするか否かを判断する間もなく、ユーザーはランサムウェアに感染したウェブサイトにアクセスしたり、e-mailに添付された悪意のあるファイルを開いたりした時、プログラムは自動的にダウンロード・インストールされることもある。いくつかのランサムウェアプログラムは戦略に関係なく、単純にロックをかけたり、コンピュータファイルを暗号化したりすることで、身代金を要求する。

　典型的なスケアウェアは脅迫するだけだが、いくつかのランサムウェアは被害者が金額を支払ったとしても、実際にファイルを削除することで恐怖を与える。さらに、典型的なランサムウェア、スケアウェアはインストールの直後にPIIを回収する。

ランサムウェアの２つの形式　（TWO FORMS OF RANSOMWARE）

　マイクロソフト社のマルウェア防止センターによると、ランサムウェアには２つの形式がある。ロックスクリーンまたは暗号化である。（http://tinyurl.com/cea96fd）

　ロックスクリーンランサムウェア（ウィンロッカーランサムウェアとしても知られている）は詐欺手法でも卓越している。このタイプは、ユーザーがコンピュータのファイル等にアクセスできないよう、スクリーン全体に画像イメージかまたはウェブページ表示される。マイクロソフト社のマルウェア防止センターによると、犯罪組織は利用者をさらに混乱させるため、「法的機関のロゴやイメージを表示させることで、合法性の雰囲気を出す」といったソーシャルエンジニアリングの技術を駆使している。

　暗号型ランサムウェアはそれほど普及しているわけではないが、ソーシャルエンジニアリングの代わりに、直接的に身代金の要求をする。マイクロソフト社のマルウェア防止センターによると、犯罪組織が被害者をひっかけた後、ランサムウェアが「” ファイルを[複雑なアルゴリズムを使用]し、暗号化し、ファイルを開けないよう妨害する。犯罪組織は暗号化したファイルへアクセスするパスワードと引き換えに金銭の支払いを要求する。

　FRAUDマガジン２０号（２０１１年６月号）で初めて取り上げたスケアウェアの記事では、ランサムウェアは被害者の恐怖心を利用して金銭を奪い取ると記載した。セキュリティソフトウェアのふりをする代わりに、これらのプログラムは、利用者は犯罪行為を責めるだけでなく、金銭を支払わなければプログラムやファイルへのアクセスができなくなると脅かす。

　例えば、あるランサムウェアは”ビットトレント（BitTorrent）”やピアツーピア（P2P）プログラムの利用者を標的とする。一度、そのプログラムがコンピュータに感染すればコピーライト侵害の調査のふりをして、コンピュータ内に盗まれた資料が発見されたと、あたかも専門的なポップアップスクリーンを表示する。被害者は法廷で証明するか、または４００ドルの罰金を支払うことで問題を簡便的に解決する方法の選択肢が与えられる。もし被害者が罰金を支払うことを拒めば、コンピュータを立ち上げるたびに、ポップアップが何度も表示される。さらに、被害者が屈服し、申し立てられた金額を払うまで被害者のデスクトップコンピュータをロックする。

時間、地理及び財務への影響
（TIMELINE, GEOGRAPHICAL LANDSCAPE AND FINANCIAL IMPACT）

　東欧の暴力団は典型的なスケアウェアよりも報酬額がよいため、２００９年に本格的にランサムウェアの使用を開始した。スケアウェアは一件あたり、１００ドル以下に対して、ランサムウェアは一件あたり１００ドルから４００ドルである。それまでは、犯罪組織は典型的なスケアウェアを使って、数百万にもおよぶ被害者から金銭を要求していたが、もっぱらランサムウェアを使い始めた。

　２０１２年１２月５日のニコール・パルロスのニューヨークタイムズの”ＰＣウィルス被害者、支払わなければさもないと。”の記事によると、”セキュリティ専門家によると、欧州にある１６以上の犯罪組織は、欧州全土で被害者から金銭を強奪している”（http://tinyurl.com/c3bmr6c）。

　フランスのセキュリティ調査士のチャーリー・フーレルはある犯罪組織のコンピュータにクラッキングしたところ、１８，９４１台のコンピュータをウィルスに感染させ、身代金を支払った１５%の利用者から１日で４００，０００ドルを収集したことを突き止めた、とパルロスは報告した。”数年前、アンチウィルスいわゆる’スケアウェア’が絶頂期の頃、犯罪者が一週間で１５８，０００ドルを稼ぐことができたころよりも、著しく増えた。”とパルロスは記載した。

　ランサムウェアとその仕組みを活用している犯罪組織を追跡しているシマンテック社は、”控えめに見積もっても、２．９パーセントもの感染した利用者“から一年あたり５００万ドルが被害者から勧告exhortされている”という報告に同意している。（O’Gorman and McDonald Symantec reportを参照）

　ＦＢＩと国際ホワイトカラー犯罪センター（National White Collar Crime Center）と協力しているインターネット犯罪苦情センター（The Internet Crime Complaint Center）は、Revetonと呼ばれているロックスクリーンランサムウェアの一つを、２０１２年１１月３０日のIntelligence Note.（http://tinyurl.com/br9a7r2）で報告した。Revetonは世界中の犯罪組織にとって実入りが良く、特に欧州各国では依然として使用されている。

　しかしながら、いくつか朗報がある。The Radio Free Europe Radio Libertyウェブサイトは、スペイン当局及び欧州連警察組織はランサムウェアを用いて、”数百万ユーロを収集していたと伝えられているロシア、ウクライナ及びグルジアの犯罪組織”を解散させたと報告した。（“Cybercrime: ‘Ransomware’ Gang Arrested,” February 18, based on reporting from AP, Reuters and AFP, http://tinyurl.com/bwhqcbz.参照）

　２７歳の犯罪組織をけん引し、ウィルスを開発したロシア人は、アラブ首長国連邦で拘留された。少なくとも犯罪組織の他の６人もスペインで逮捕された。この記事は”当局者によると、おおよそ３０ある欧州連合の何十万もの人々は、犯罪組織の活動に影響を受けている”と発表した。

ランサムウェアの配達方法　（RANSOMWARE DELIVERY METHODS）

　罪組織はランサムウェアを送るために、主に” Reveton”または悪意のある添付ファイルを含んだＥメールを使う２つの方法を利用する。krebsonsecurity社のブログの著者であるブリアン・クリーブスによれば、Revetonは一般的にブラックホール・エクスプロイト・キット（Blackhole Exploit Kit）を使用する。エクスプロイト・キットは、ハッキングされたウェブサイトまたは悪意のあるウェブサイトに組み込まれていて、アクセスした全てのブラウザはFlash JavaからAdobe Readerまで更新されていないプラグイン[ソフトウェア]などの脆弱性を探し出す。（“Inside a ‘Reveton’ Ransomware Operation,” by Brian Krebs, Aug. 12, 2012, http://tinyurl.com/cg49maw.参照）エクスプロイト・キットにコンピュータソフトウェアのセキュリティホールを発見されると、ブラウザは” Revetonと、パスワードを抜き取るCitadel/ZeuS Trojanに指示をするトロイがダウンロードされる。”とクリーブスは記載した。

　最も一般的な財務的マルウェアであるCitadel/ZeuSトロイは、感染したコンピュータからオンライン決済及びクレジットカード不正に使用するデータを収集し続ける。ブラックホール・エクスプロイト・キットにより、利用者からの相互作用がなくても、ドライブバイダウンロード（訳注：Webブラウザなどを介して、ユーザーに気付かれないようにソフトウェアなどをダウンロードさせる行為のこと）でエンドユーザーのコンピュータがウィルスに感染する。

　ランサムウェアはＥメールに添付された悪意のあるファイルを経由して送信されることもある。さらに、実在する組織から送信されたメッセージのように見せかけて送られてくる。被害者が添付ファイルを開くと、ランサムウェアはシステムに侵入し、ロックスクリーンのイメージをダウンロードする。

　ニューヨークタイムズのパルロスの記事によると、犯罪組織はマルウェアをどこに植え付けるかについて、非常に巧妙に練られている。被害者ができる限り恥ずかしい思いをしたくないと考える心理を刺激し、より”罰金”を支払う気にさせるため、一般的には、ポルノサイトにマルウェアを植え付ける。シマンテックの調査によると、犯罪組織は、被害者の’マシン’にランサムウェアをダウンロードさせるため、ポルノサイトの広告主に悪意のあるリンクを掲載するための費用を支払った証拠がある”とパルロスは記事を書いた。

　ポルノサイトがすべてのマルウェアの一般的な繁殖場となっているにも関わらず、犯罪組織はしばしば、（ポルノサイトとは別の）尊重された、評判のいいサイトにも感染をさせる。

典型的な警告画面　（TYPICAL WARNING SCREENS）

　ランサムウェアスクリーンは利用者を騙す共通の目標を持っているにも関わらず、言い回しを各々変更することができる。例えば、IC3は２０１２年１１月３０日のIntelligence Noteで、次のように報告された。ランサムウェアの警告画面はメッセージの信頼性を高め被害者の恐怖心を煽るため米国政府機関のロゴや円章を含めて表示される。IC3は２０１２年５月３０日のIntelligence Noteで次のように説明した。（http://tinyurl.com/bnd57e6）:

　ユーザーは、ランサムウェアによって悪意のあるウェブサイトに誘導され、ドライブバイダウンロードでコンピュータにランサムウェアをインストールする。一度インストールされてしまえば、コンピュータは固まり、利用者の画面には米国連邦法に違反したとの警告が表示される。このメッセージはさらに、児童ポルノ及びその他の違法なコンテンツにアクセスしたとして、利用者のＩＰアドレスはコンピュータ犯罪及び知的財産部門によって特定されていると宣言する。ロックを解除するため、利用者は米国司法省（US Department of Justice）にプリペイドカードを利用して１００ドルの罰金を支払うように命じられる。利用者のＩＰアドレスの地理的位置によって、要求される支払サービスが決定される。ランサムウェアに加えて、Citadelマルウェアは感染したコンピュータで活動をつづけ、オンラインバンキングとクレジットカード不正に利用される。

　この種の詐欺では、政府機関の公印に接して、トップ画面のバナーには” 米国司法省コンピュータ犯罪及び知的財産部門”の名前が含まれている。背景には米国国旗、木槌、キーボードが描かれている。司法省を名乗る、似たようなランサムウェアのロックスクリーンをご参照ください。

　２０１２年８月９日にＩＣ３は、最新の警告をだした。それは、今度は、ＦＢＩと偽り、組織の円章と共に以下のようなメッセージが記載されている第二のロックスクリーンランサムウェアを報告した。

一部抜粋：

“以下に明記する少なくとも１つの理由により、あなたのコンピュータは遮断されました。”

著作権と関連する権利に関する法律（映像、音楽、ソフトウェア）を破り、著作権のあるコンテンツを違法に使用または配布したので、米国連邦刑法の著作権法として知られる第８条第８節第１項を侵害しました。

　犯罪規則８条項８項１条は２から５百の最小賃金または２から８年の自由を剥奪する。

　あなたは禁止されているポルノコンテンツ（児童ポルノ／獣姦など）を閲覧または配付した。米国犯罪規則２０２条項の違反により、犯罪規則２０２条項は４から１２年の自由の剥奪を与える。

　違法アクセスはあなたの知識や承諾なくあなたのＰＣから始まり、ＰＣはマルウェアに感染し、このようにして、個人コンピュータを使用し、不注意で法を破り、犯罪規則２０１条項は最大１００，０００ドルの罰金と／または４から９年の自由の剥奪を与える。

　罰金が違反後７２時間以内に支払わなければ期限は切れ、次の７２時間以内に自動的に刑事事件に発展する。

　画面には、パソコンロック解除のために、MoneyPakで罰金を支払う手順を説明するリンクが表示される。繰り返し行われる詐欺師はUkashやPaysafeguardのような他のバウチャー形式の支払いオプションを推奨する。これらの支払方法は、犯罪組織のクレジットカード問題を回避するだけでなく、送金を促進することができる。

　２０１２年１１月３０日、ＩＣ３は、（http://tinyurl.com/cw2qff9）文書で、第三のロックスクリーンランサムウェアの形態について報告した。それによると、スクリーンには、インターネット犯罪苦情センターを偽って、「告訴のお知らせ」と大見出しに記載されメッセージには、利用者のコンピュータにおける行動は、”オーディオ、ビデオ、その他機器”を用いて、記録されていると主張している。ＩＣ３は感染したコンピュータはおそらく銀行不正などに悪用されるので、マルウェアを取り除くために地元のコンピュータ専門家に連絡すべきと警告した。

　２０１２年３月９日のF-Secure.com（http://tinyurl.com/7h4f8m9）の記事の”フィンランド人が局所的なランサムウェアの標的となった”によると、欧州の被害者には大抵地元の法執行機関の警告画面を表示する。警告画面は、ドイツ、英国、フィンランド用に局所化されていることや、ソーシャルエンジニアリング手法はすべての国に共通しているとF-Secureは記載している。”ランサムウェアに感染すると、インターネットエクスプローラーのスクリーンを最大化し、（F11）と地元警察と詐称し利用者がコンピュータを使って、児童及び動物虐待を含むサイトを閲覧しているとの警告文が表示される。さらに、被害者のコンピュータはテロに関する内容のスパムメールを送信されていたとし、警察は利用者が罰金を払うまでコンピュータをロックすると主張している。

ランサムウェアの除去　（REMOVING RANSOMWARE）

　製作者は常に手口を進化させるので、ランサムウェアをコンピュータから除去することは困難である。今日効果があっても、明日も同様に効果があるとは限らない。シマンテック社はランサムウェアの居場所を突き止め、除去し、被害を修復するNorton Bootable Recoveryを利用するための簡易なガイドを提供している。（http://tinyurl.com/cu6oqwr）

　マイクロソフト社もまた、ランサムウェアを除去する2つの簡易な方法をマルウェア防御センターのウェブサイトで提供している。（http://tinyurl.com/cea96fd）

　“ランサムウェアの攻撃に遭遇した時、ランサムウェアの構成要素は、あなたのシステムに駐在する最も明確な脅威であることを読者が理解することは重要である。”とクリーブスは２０１２年８月１３日の記事で記載している。“Inside a ‘Reveton’ Ransomware Operation” http://tinyurl.com/cg49maw.

　もし、Citadel/ZeuSトロイにコンピュータが感染したら、犯罪組織は、その他の人にオンラインバンキング不正やクレジットカード不正を実行するため、あなたのPIIを収集している。それゆえ、コンピュータのロックを解除されたり、暗号化を解除したりするだけでは十分でないかもしれない。もし、前述のまたは類似の連絡先に連絡することに抵抗を感じるようでしたらコンピュータが安全で感染していないことをコンピュータの専門家企業に診断してもらうべきである。

ランサムウェアを防止する　（PREVENTING RANSOMWARE）

　もちろん、ランサムウェアの感染を防止する最良の手段は、初期段階から発生を防ぐことである。なぜなら、ランサムウェアは信頼できるサイト、Ｅメール、インターネットからダウンロードされるプログラムに潜んでいる可能性があり、１００%防ぐことはできない。

　防止のための手順は以下の通りである：

●	クラウドサービスや外部ハードディスクやＵＳＢフラッシュデバイス等の外部ストレージにファイルをバックアップする。しかし、オリジナルファイルと同様のコンピュータにバックアップしてはならない。

●最新のファイアウォール、ウィルス対策、スパイウェアソフトウェアを利用する。

●ブラウザ、システムソフトウェアやその他ソフトウェアに最新のパッチを適用した状態を保つ。

　不正検査士として、懐疑心を持つ訓練を実施しているため、どの政府機関もウェブ経由での通知の送付、コンピュータのシャットダウン、単純に問題解決のために罰金の支払いを命じたりはしないことをよくご存じだと思う。（少なくとも、今これを読んでいるあなたは、知ることができた。）。

　正しい閲覧習慣を身に付け、知り合いにも助言してください。疑わしいウェブサイトには決してアクセスしたり、リンクをクリックしたりせずに、信頼できるサイトからのみファイルのダウンロードを行ってください。

　最後に、あなたのオペレーティングシステムに備えられたセキュリティを解除したりしないでください。確かに、目障りなものもありますが、あなたを守るために備えられています。

備えあれば憂いなし　（FOREWARNED IS FOREARMED）

　ランサムウェアは欧州でサーバー犯罪を行う犯罪組織にとって潜在的に有益な不正であり、彼らは最近米国を加え、その他国々もマーケティング戦略の対象としている。

　クリーブスの“ ‘Reveton’ ランサムウェア活動の内側”の記事によると、Revetonを追求した名もない研究者は”拡散したRevetonに関与している集団は、（マルウェアをダウンロードさせる）ページから、バックエンドのインフラストラクチャを固めるために常に自らの活動を微調整している”と言っている。いくつかのランサムウェアを通じて、犯罪組織は逮捕されたが、我々はまだ陰険な犯罪を撲滅する長い道のりの途中である。

　これで備えられるでしょう。クライアント、家族、友人そしてその他の知り合いに共有してください。もし彼らがランサムウェア詐欺に遭遇したら、”罰金”を支払わないように助言してください。幸運を祈ります！

Robert E. Holtfreter, Ph.D., CFE, CICA
エレンズバーグにあるワシントン中央大学で会計及び調査の教授を務める。

Tiffany McLeod,
以前のロバート・ホルトフレターの不正検査コースの学生であり、最近、ワシントン中央大学の会計学及び英語の学士を得た。