ランサムウェアとスケアウェアの“極悪”コラボが流行の兆し

F-Secureのセキュリティ研究所主席研究員、ミッコ・ヒッポネン氏は、ランサムウェアがスケアウェアと“コラボレーション”している最近のトレンドについて、ユーザーに注意を呼び掛けている。

[西尾泰三，ITmedia]

　F-SecureのCRO（セキュリティ研究所主席研究員）、ミッコ・ヒッポネン氏は最近のサイバー犯罪における攻撃者の策動を興味深く見守っているようだ。特に、ランサムウェアがスケアウェアと“コラボレーション”している最近のトレンドについて、ユーザーに注意を呼び掛けている。

　ヒッポネン氏が注視しているのは、エフセキュアが「Trojan:W32/DatCrypt」と呼んでいる最新のランサムウェアの挙動である。

　ここで、説明の必要はないかもしれないが、幾つか用語の紹介をしておこう。ランサムウェアとは、感染したコンピュータのファイルを暗号化するなどし、その修復に対価を求めるというトロイの木馬の一種。スケアウェアは、例えば偽のメッセージを用いて実際には価値のないセキュリティツールの購入を迫るなど、ユーザーを不安にさせる「脅し」目的のものが多い。

　では、ランサムウェアとスケアウェアが融合したTrojan:W32/DatCryptとはどういったものか。以下では、エフセキュアブログのエントリ「ランサムウェア - 自分のファイルを買い戻せ」を引用しながらその挙動を示す。

　W32/DatCrypt Trojanに感染すると、まずMicrosoft Officeの書類や動画、画像などのファイルを幾つかDatCryptで暗号化し、さらにそのファイルが破損したかのように偽装する。

　続いて、OSからのメッセージのように偽装したポップアップを表示させ、「Windowsが推薦するリカバリソフト」であるかのようにスケアウェアを扱い、それをダウンロードし、実行するようユーザーに促す。

　ユーザーがこのリカバリソフトをダウンロードし、実行してファイルの修復を試みると、｢only repair one file in unregistered version（このソフトは無料版なので修復できるファイルは1つだけです）｣というメッセージが表示され、完全に修復する場合、あるいはさらに多くのファイルを修復する場合は、89.95ドルの製品版を購入するよう誘導される。

　豪華なGUIに惑わされがちだが、暗号化されたファイルを復号化しているだけのスケアウェアである。しかし、そのリバースエンジニアリングは現実的な時間では難しい。適切なセキュリティ対策、あるいはバックアップを取っていなければ、ユーザーがファイルの復号化を行うすべは事実上存在しないともいえる。ここがランサムウェアの恐ろしいところである。

　単にLinuxへの“改宗”を迫るランサムウェアはまだかわいげもあるが（もちろんいうまでもなく犯罪である）、大半のランサムウェアは金銭を目的としたものである。2009年に流行した「File Fix Professional」などのスケアウェアにもすでに同様の兆候はあったが、ランサムウェアでファイルを人質に取り、スケアウェアで金銭を要求するという一連の攻撃手法が確立されつつある点に注意したい。

　もっとも、こうしたスケアウェアの購入で暗号化されたファイルが元に戻るのは、ユーザーからすればまだ幸運かもしれない。攻撃者にお金を払えば復号化の手段が得られるという何の根拠もない前提を盲信するのは、すでに攻撃者の術中に落ちているのだから。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック