ここから本文です

ランサムウェア前線(2)米FBIが対策に躍起 巧妙な「SamSam」の手口とは

THE ZERO/ONE 5月10日(火)18時10分配信

ランサムウェアを利用した犯罪が世界中で急増していることに、最も苛立たっている組織のひとつは米国の捜査機関だろう。ロイターの3月28日の報道によれば、FBI(米連邦捜査局)は現在、セキュリティの専門企業や研究者たちに対して「新たなランサムウェアの捜査の協力」を緊急に求めているという。

ロイターによると、FBIが緊急に発行した3月25日付けの秘密文書には「あなたの助けが必要です!」と記されていたという。その内容は「あなたがランサムウェアによる攻撃の証拠を持っている場合、あるいは捜査の手助けとなる情報を知っている場合、すみやかにCYWATCH(FBIのサイバーセンター)に連絡をすること」を乞うものだった。

この文書の中でFBIが焦点を当てていたのは、「MSIL」または「Samas」「SamSam」と呼ばれる特定のランサムウェアだった(本稿では、以下SamSamと表記する)。マルウェアの脅威を伝える立場にあるFBIは3月初頭、このSamSamに関する技術的な情報をセキュリティ企業にシェアしていたという。しかし、その時点で「捜査の協力」は依頼されていなかった。つまりFBIの捜査が、この数週間で大いに難航したのであろうことは想像に難くない。

米国のセキュリティ企業Carbon Blackの共同創業者はロイターの取材に対し、「これは国のサイバーエマージェンシーだ」と語っている。そして事件を伝えた北米メディアの見出しには、「緊急事態」「切迫した状況」「エピデミック」など派手な表現が用いられることとなった。

FBIを焦らせる「SamSam」とは?

このSamSamは現在、Lockyと共に最も注目されているランサムウェアの一つと言えるだろう。SamSamには、これまでに見られてきたような典型的なランサムウェアとは異なった悪質な特徴がある。

多くのランサムウェアは、まずユーザーベースの攻撃(メールによるフィッシング攻撃など)を行い、そこから端末に感染して活動を始める。しかしSamSamは最初にサーバーを侵害し、これを足がかりとしてネットワーク全体の端末に感染を広げる。その後、感染先の様々なファイルを2048ビットのRSA暗号で次々と暗号化したのち、被害者に身代金を要求する。たとえ一人ひとりのユーザーが、自分の端末のバックアップをネットワークベースでこまめに保管していたとしても、そのバックアップまで暗号化してしまう。

このようなランサムウェアは、ネットワーク全体のシステムファイルを暗号化されてしまうと、なかなか復旧できないタイプの組織に大きなダメージを与えることができる。また一刻も早く通常どおりの業務を行わなければ大惨事を起こしかねない業種の組織を脅すにも、極めて有効な手法だ。

ここで、前回お伝えした「病院」を襲ったランサムウェアの話題を思い出していただきたい。まさしくSamSamは、「ヘルスケア業界に特定の焦点を当てたランサムウェアであるようだ」と、Cisco Talosの研究者は説明している。
このSamSamの侵入方法に関しては、パッチを当てていないJBoss(オープンソースのAPサーバー)の脆弱性を悪用して攻撃するなど、複数のケースが報告されている。SamSamの技術的な情報、および被害者と犯人による通信の内容などは、先述のCisco Talosのブログで丁寧に解説されているので、より詳しく知りたい方にはご一読いただきたい。

1/2ページ

最終更新:5月10日(火)18時10分

THE ZERO/ONE