世界で100以上の政府機関や民間企業への侵入し、大きな被害をもたらしたランサムウェアが中国で検出されたと、大手テクノロジー企業テンセント(Tencent)がまとめたセキュリティ報告書が明らかにした。
ランサムウェアはマルウェアの一種で、感染したコンピュータはユーザーのシステムへのアクセスを制限する。その制限を解除するため、ユーザーはマルウェアの作成者に身代金の支払いを余儀なくされる。
FBI(米連邦捜査局)によると、高いデータ価値を持つ「物流企業、テクノロジー企業、小規模な地方自治体」をターゲットにしたランサムウェア「Ryuk」は、時に500万ドル(約5億4000万円)規模の身代金をビットコインで要求するという。
2019年1月に米メディア企業トリビューン・パブリッシング(Tribune Publishing)の販売経路すべてに影響を与えたハッキング事件においても、Ryukの関与が疑われている。6月には、フロリダ州レイクシティ市のコンピュータシステムが消失したため、同市は46万ドルの身代金を支払った。その2週間前には、同じくフロリダ州のリビエラビーチ市は、60万ドル相当の身代金の支払いに応じた。
Ryukは、2018年8月に初めて確認されたウイルス「Hermes」の修正版だと考えられている。従来通りボットネット(悪意あるプログラムを使って乗っ取ったコンピュータで構成されるネットワーク)やスパムを通して拡散し、無防備なIPポートから侵入するという。
一度インストールされると、この悪意あるマルウェアは、侵入したことを関連づける全てのファイルを消去し、ウイルス対策の進行を停止させる。FBIの最新情報にはこう記されている。
「攻撃者が被害者のネットワークにアクセスが可能になった後、おそらくネットワーク内の情報を搾取するツールがダウンロードされる。(中略)一度、実行されてしまうと、レジストリの中に永続できる場所を作り、実行中のプロセスに侵入する。ネットワークに繋がったファイルシステムを見つけ出し、暗号化を始める」
このウイルスは、「RyukReadMe」という脅迫状を被害者のインターネットブラウザで展開する。HTMLページには、ハッカーのメールアドレス2件が左上に、ウイルスの名称が中央に、暗号めいたフレーズ「balance of shadow universe」が右隅に表示される。
FBIは2018年からこのランサムウェアを追跡。何度も修正が行われていることを発見している。中国国内で確認された修正版は、32ビットもしくは64ビットの脅迫モジュールを同時に動かしていて、これがバグのさらなる進化を可能にするであろうと報告されている。
現時点で、中国企業における感染規模や身代金の要求総額は、明らかになっていない。テンセントに取材を試みたが、コメントは得られなかった。
翻訳:石田麻衣子
編集:佐藤茂
写真:Shutterstock
原文:Bitcoin Ransomware That Infiltrated 100 US Enterprises Spreads to China
