そもそも、ランサムウェアを扱う「攻撃者の視点」とは何なのか：ランサムウェアを正しく理解し、効果的に護るための現実解（2）（1/2 ページ）

　連載第1回の記事では、「ダークウェブ（Dark Web）」とその中で行われるランサムウェアビジネス（Ransomware as a Service、RaaS）を中心に紹介した。そこではランサムウェアが専門的な知識を必要とせずに扱える実態に迫った。第2回目の記事では、第1回の記事を踏まえ、攻撃者の視点に基づく効果的な対策を考えていきたい。

専門知識がなくても誰でも攻撃者になることができる現実

　Web上では、さまざまな攻撃関係のツールを確認できる。それは第1回の記事で紹介した「ダークウェブだけではなく、「サーフェイスウェブ（Surface Web）」と呼ばれる、普段利用するようなWebサイトからも探すことが可能だ。

　今回の記事執筆に伴い、あらためて攻撃ツールを検索してみたところ、ランサムウェア作成ツールをすぐに見つけることができた。詳細な操作手順や説明は犯罪を助長することも懸念されるため割愛するが、GUIでランサムウェアを作成することが可能なものである。入手したツールの動作を検証したところ、すぐにExcel 2013のアイコンに偽装したランサムウェアを作成できた。

図1　作成したランサムウェア

　現在、端末を拡張子非表示に設定しているため、見た目だけだとExcelファイルと見分けがつかないが、実際は拡張子がEXE形式になっている（「ファイル拡張子の表示」はセキュリティの鉄則であることは言うまでもない）。

　このランサムウェアを開いたところ、デスクトップの壁紙が変わり、デスクトップ上のファイル名も「Lock〜」で始まる名称にすぐさま変更された。ファイルを開いてみると暗号化されており、もともと書いていた内容を読み取ることができなかった。また、変更された壁紙には「ビットコインを支払うように」との脅迫文が表示された。

図2　ランサムウェア感染後のデスクトップ画面とファイル

「攻撃者の視点」を考える

　ここからは、ランサムウェアを扱う攻撃者の視点を読み解いていきたい。

　最近よく「攻撃者の視点」という言葉を聞くようになった。言うまでもなく、攻撃者の視点を知っておくことは、防御に役立つということだ。では、ランサムウェアを扱う「攻撃者の視点」とはどういったものか。次のように示すことができるのではないだろうか。

• 無理に標的を絞らなくてもよい
• 余計な手間が不要
• 金銭を稼ぎやすい

　もちろん、他にもさまざまな考え方の下、攻撃者はランサムウェアを扱うのだが、主にこの3点に集約される。

無理に標的を絞らなくてもよい

　ランサムウェアを扱う攻撃は金銭の獲得が目的であり、無理に標的を絞らなくてもよい。ダークウェブ上ではメールアドレスを含むさまざまな個人情報がやりとりされている。そういった情報を活用する以外にも、お問い合わせ窓口に記載のあるメールアドレスから会社の送信先を予測して送信するといったソーシャルエンジニアリング的な方法も可能である。

　また、Webサイト改ざんや不正サイト設置による「ドライブバイダウンロード」などの手法もある。標的を狙って感染させる場合、標的となる対象のセキュリティ状況や保有している脆弱（ぜいじゃく）性情報、空いているポートなどの調査の手間も増える。もちろん、そこには攻撃者のスキルも加味される。そのようなコストを考えなくてよいのだ。

余計な手間が不要

　一度感染させてしまえば、後は被害者側が身代金を支払うかどうかだけ。攻撃者は基本待つだけでよい。

　攻撃者は能動的に動く時間が少ないため、別の攻撃の企画や実行にコストをかけることができる。

金銭を稼ぎやすい

　攻撃者にとって身代金は、どの組織から手に入れてもよい。1万人にランサムウェア付きのメールを送付し、0.1％の10人から身代金を得れば利益が発生する。

　そして、より多くの感染者を増やすために、ランサムウェアを含むマルウェアを、「各セキュリティベンダーのソリューションが検知しないか」をテストするようなサービスも存在する。そのようなサービスを用いることで感染力を上げることも容易なのだ。

　次に、こういった視点を踏まえ「ランサムウェアに対して、どのように対策を講じればよいのか」を考えていきたい。