ランサムウェアの目的は、金銭詐取から証拠隠滅へと発展
2017年のサイバー脅威で最も目立つ話題になったのはランサムウェア「WannaCry」だろう。GReAT プリンシパル・セキュリティリサーチャー ヴィンセンテ・ディアス氏も「私がいるスペイン国内でも混乱が見られました。一般のオフィスでは『分からないが攻撃らしいのでパソコンを終了させよ』となり、仕事ができない人も。あの金曜日は後世に語り継がれるでしょう」と当時を振り返る。WannaCryは拡散力が強く、古いWindows OS端末が次々と感染した。データを暗号化し、身代金を要求するランサムウェアだった。当初の話では。
GReAT プリンシパル・セキュリティリサーチャー ヴィンセンテ・ディアス氏
調査を重ねると、背後にサイバー犯罪グループLazarusの関与が浮上してきた。ただしWannaCryには不可解な点がある。あれだけ拡散したにもかかわらず、支払われた身代金はそう多くない。金銭詐取が目的だとしたら、成功とは言いがたい。なにせ古い端末だと組み込み機器や業務用が多く、身代金を要求する対象としてどうか。ディアス氏は「何らかの実験中に制御不能になり流出したものではないか」と話す。
WannaCryがうっかり表に出てしまった試作品だとしても、次に広まった「ExPetr(New Petya、NotPetya)」は計画的なものと見られる。被害がウクライナ中心であることなどから、ディアス氏は「地域や日時に狙いを定めた破壊攻撃」と指摘する。
ランサムウェアは一般的には金銭詐取を目的としたマルウェアだが、ExPetrはどうも違うらしい。ディアス氏はExPetrを「ランサムウェアではなくワイパー」と言う。金銭を要求する画面は本来の目的を隠すための見せかけで、真の目的はコンピュータに侵入して何らかの攻撃をした痕跡を消すこと。つまりランサムウェアのなかには身代金要求は陽動で、証拠隠滅のツールとして使われている可能性もあると考えたほうがよさそうだ。
では犯罪グループが金銭に欲がないかというと、そんなはずはない。なかでもBlueNorroffのように一貫して金融機関を活発に攻撃しているグループもいる。2017年にはポーランド、メキシコ、台湾などの銀行を攻撃した。ディアス氏によるとBlueNorroffはLazarusの一部門だという。金融機関やビットコイン取引所への攻撃、および仮想通貨マイニングなど専門に行う。いわばLazarusの資金集め専門チームのようだ。
