ランサムウェアに起きた“破壊的イノベーション”とは? 進化の歴史をひもとく「SPHERE 24」現地レポート(1/2 ページ)

ランサムウェアは一体どのように衰退と進化を繰り返してきたのか。また、その最中に起きた“破壊的イノベーション”とは何か。40年間セキュリティリサーチャーとして活動してきたハッカーがその歴史をひもとく。

» 2024年05月28日 09時10分 公開
[田渕聖人ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 ランサムウェアは10年以上前から存在するメジャーなサイバー脅威であり、その手法の高度化・巧妙化はとどまるところを知らない。そして、こうした進化の背景には攻撃者たちを取り巻く技術や環境の変化、すなわち“歴史”が関係している。

 WithSecureは2024年5月28〜29日(現地時間)に大規模カンファレンス「SPHERE 24」をフィンランドの首都ヘルシンキで開催した。同イベントに先立ち、同社の主席研究員(CRO)として活動するミッコ・ヒッポネン氏がランサムウェアの“進化の歴史”をひもとき、攻撃の今後の展望や防御側が取るべき対策を明らかにした。

収益に大きな変化 ランサムウェアに起きた“破壊的イノベーション”

WithSecureのミッコ・ヒッポネン氏(主席研究員《CRO》)

 ヒッポネン氏は40年間インターネットの最前線で活動してきた現役のセキュリティリサーチャーであり、サイバー脅威の歴史をまとめた『インターネットの敵とは誰か? サイバー犯罪の40年史と倫理なきウェブの未来』(双葉社)の著者でもある。

 ヒッポネン氏はこれまでその知見を生かして、ウイルスそのものの特徴やウイルスの裏にある攻撃者の狙いなどを解明してきたが、その主要な取り組みはある一つのランサムウェアから始まった。それが1989年にはじめて観測された“最古”のランサムウェアで、トロイの木馬とも呼ばれる「AIDS」だ。

 AIDSはいわゆるワームといったウイルスと異なり、教育ソフトを装ったフロッピーディスクに仕込まれたランサムウェアだ。フロッピーディスク全盛の時代、攻撃者たちは、これを被害者へと郵送することで感染を図ったという。AIDSは感染したPCのデータを暗号化し、90日以内にパナマの口座に送金するよう被害者に要求した。

 ただ、そこからAIDSに似た亜種が登場しても大きく流行することなく月日が流れ、2013年に“破壊的イノベーション”といえる“現代的”なランサムウェアが誕生した。それが「CryptoLocker」だ。

 CryptoLockerの特徴は身代金の支払い方法にビットコインを採用した点にある。CryptoLockerが登場する以前のランサムウェアは身代金の支払いにクレジットカードやギフトカードを使っていたため、追跡が非常に容易だった。

 「攻撃者はブロックチェーン技術に基づいたビットコインが持つ安全性・匿名性という長所を存分に生かしてこれを悪用しました。当時、ビットコインは一部のユーザーのみが知るもので大きく流行はしていませんでした」(ヒッポネン氏)

CryptoLockerの感染画面(出典:WithSecure提供資料)

 CryptoLockerは被害者のPCのデータを暗号化し、身代金として300ドルを要求する。期限内に身代金が支払われなかった場合はHDDにある全てのデータが失われてしまう。CryptoLockerが大流行したことでこれの亜種が次々と登場した。

 その中でもヒッポネン氏が当時注目していたランサムウェアが「The Pop Corn」であり、チェーンレターに近い構造で感染を拡大させるのが特徴だ。身代金要求額である1ビットコイン(当時の換算で約400ドル)の支払いが困難な場合、被害者は攻撃者から送られてきたウイルス感染につながるURLを友人などに送る。そのうち2人がURLをクリックして身代金を支払えば、被害者はデータを無償で復旧できる。

The Pop Cornランサムウェアの巧妙な感染拡大手法(出典:WithSecure提供資料)

 「感染を爆発的に拡大できるという点でこれは非常に賢いやり方だ」(ヒッポネン氏)

サイバー攻撃者たちから“ユニコーン”が生まれた

 ただしヒッポネン氏によると、これまで登場してきたランサムウェアと現代のランサムウェアには標的に大きな違いがあるという。CryptoLockerやその亜種をはじめとしたランサムウェアが個人のデータをターゲットとしたのに対し、現代のランサムウェアは企業のデータを狙うようになった。

 ヒッポネン氏は「これは攻撃者が個人の犯罪者から組織的な犯罪集団へと変化したことを意味する。つまりサイバー犯罪における“ユニコーン”が生まれたということだ」と語る。

 ユニコーン企業とは、評価額10億ドル以上で設立10年以内の非上場の新興企業を指す。企業を標的にするようになったことで、正当な企業であればユニコーン企業に匹敵するほどの金銭を獲得しているランサムウェアグループが現れた。その代表が、LockBitやALPHV、Clopといったグループだ。

 こうしたグループが“裕福”になったのには企業を狙うようになったこと以外にも幾つかの理由がある。一つ目は彼らの資金がビットコインだった点だ。ヒッポネン氏によると、主要なランサムウェアグループは価値が急上昇する以前から安全性・匿名性の観点から大量のビットコインを所有していたため、大きな利益を上げられた。そしてもう一つは税金を支払わなかったからである。

 ランサムウェアグループのユニコーンから派生した複数のグループが生まれた結果、今では下図のように非常に多くの脅威アクターが存在している。

ランサムウェアグループの派生(出典:WithSecure提供資料)
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ