見出し画像

Ragnar_Locker CAPCOMランサム攻撃(其の二)

徒然なるまま

久しぶりにインターネットの海にどっぶりと浸かっている自分。今後は、ランサムウエアを用いたサイバー攻撃を行う者たちを「ransomgang(又は、ランサムギャング)」と呼びたいと思う。また、CAPCOMを攻撃した犯人は「RagnarLocker(又は、ラグナロッカー)」とし、ラグナロッカーがCAPCOM攻撃に用いたランサムウェアを「Ragnar_Locker」と表記したいと思う。

 ランサムギャングによる被害について、日本企業の被害実態は?となるとあまり定かではないように思う。マスメディアが熱心に警鐘を鳴らしている姿を見たこともないし、今回のCAPCOMの事件を通してもそのスタンスは変わらないようだ。とはいうもののCAPCOMという日本が世界に誇る大企業が被害者になったことで、サイバー攻撃の脅威を身近に感じた日本企業の経営者は少なくないのではないだろうか。そうした中、三井物産セキュアディレクション㈱が【企業を名指しで脅迫する「Ragnar_Locker」ランサムウエアの解析調査結果】を共有してくれている。一方でマスメディアには、国民と企業にランサムウエアによる脅威について広く周知してもらいたいと思う。

 さて、今回はララグナロッカーの素性について考えてみたいと思う。前述した三井物産セキュアディレクション㈱が共有してくれた調査結果は、「Ragnar_Lockerと思しき検体」の動作に焦点が絞られたものだが、そこに記載されているRagnar_Lockerの特徴の一つとして「実行された環境がロシア語などの特定の言語情報が設定された端末であった場合、感染を行わない」というものがある。具体的には「感染端末の言語設定情報を取得し、特定の国リストと比較した結果、同じであった場合、最終的に自身のプロセスを強制終了させる」という。これは海外のセキュリティー研究者による解析結果と合致するものだ。旧ソ連諸国の一つとして言語設定されていた場合は、プロセスを終了し感染活動を行わないという特徴である。要はロシアやロシアと深い関係にある域内の言語を設定しているWindows端末には感染しないのである。

 このことからどのような仮説が導き出せるだろうか。単純に考えると、ロシアやロシアと深い関係にある域内で使用されいてるWindows端末に感染しないのだから、ロシアやロシアと深い関係にある者たちによって作成されたマルウェアである可能性が高く、それを用いてサイバー攻撃を繰り返す者となれば、当然のことロシアやロシアと深い関係にある者たちではないのか?ということになりそうなものだ。

 他方、これは「Ragnar_Lockerがロシアやロシアと深い関係にある域内での感染拡大を企図した設計ではない」というだけで、同時に「ロシアやロシアと深い関係にある域内を標的としたものではない」ということでしかない。

 何となく「一休さんのとんち」のような雰囲気になってしまったが、整理してみると次のような仮説が成り立つのではないだろうか?

Ragnar_Lockerは、ロシアやロシアと深い関係にある域内での感染拡大を企図した設計になっていない。
Ragnar_Lockerを用いるサイバー犯罪者が、ロシアやロシアと深い関係にある域内の者とは限らない。
ロシアやロシアと深い関係にある域内を標的にしていないからといって、それがロシアやロシアと深い関係にある域内の者によって作成されたとは限らない。​​​
 このRagnar_Lockerの特徴から、当初はロシアのハッカー集団によるサイバー攻撃ではないかと疑いを抱いたのだが、よくよく考えてみると、その証拠は何一つないのである。少なくとも今のところは。

 サイバー犯罪者が必須としていることは”身元がバレないようにそれを行うこと”である。これはラグナロッカーに限らず、ランサムギャングをはじめ、多くのサイバー犯罪者やサイバー攻撃を行うハッカーたちにとっての必須要件である。

 ここで改めて”身元がバレない仕掛け”という側面から見直してみる。すると「成りすまし」による「偽装工作」の可能性も加味して考えねばならない。例えば、前回の「Ragnar_Locker CAPCOMランサム攻撃(其の一)」で述べたように、ラグナロッカーが自分たちのドメイン「ragnarle□ks.top(一部伏字)」を登録したレジストラ「xxxx International Limited(一部伏字)」に対して「成りすまし」や「偽装工作」を用いて「.Top」ドメインを取得した可能性は否めない。当該レジストラは、「.Top」ドメインの約7.53%の市場シェアを有しており、全ドメインで見た世界シェアでは第8位の2.9%(95万件)である。因みに「.top」ドメインシェアNo1のレジストラは、誰もが知る中国の巨大企業Alibabaグループ(同約37%)であり、全ドメインの世界シェアでも第一位の15%(500万件)を占めているのである。

 話が少々横道に逸れてはしまったが、ここではっきりさせておかなければならないこととして、ラグナロッカーが使用するトップレベルドメインの登録作業を行ったからといって、そのレジストラも悪党に違いないという考えは、その手続きの仕組みや流れからすれば早計過ぎると思うし、正直なところ誤りでしかないと思う。しかし、調査を進めている現段階では「シロ」の判定もまた早計であると言わざるを得ないのだと思う。実際にフェイスブックにある「xxxx International Limited(一部伏字)」のアカウントページには、英語圏とロシア語圏から「詐欺」「ドメイン窃取」といった苦情が書き込まれているのだから。

 今日は、ここまでにさせてもらおうと思う。最後に、個人的にとある中国企業とお付き合いをした時の体験をお話しさせて頂き終わりたいと思う。

 その中国企業が業務で使用するソフトには、2018年に発見された7Zipに存在する脆弱性に起因する深刻な脆弱性が存在していた。自身のパソコンに当該ソフトを導入するにあたり、それを知った私が先方へ脆弱性の存在と、それらを解消する為の最も簡便な方法を伝えたにもかかわらず、アップデートはおろか何の対策も行われなかったのである。おまけにこの件を申告した私には、業務に使用する分には何ら問題がないこととして、平然とフィードバックを寄越してきたので面食らってしまったことがある。日本でもサイバーセキュリティー技術者が少ないとか、エンジニアが足りていないとか言われて久しいが、中国やロシアをはじめ、世界を見渡すと、大なり小なりこの中国企業のようなセキュリティー意識が著しく欠如した現実もあるように思う。一見すると悪巧みがそこにあるかのように見えても、善意の第三者が何一つ疑いを抱くことなく不正プログラムを走らせ、何が起きているかも察知できず、結果的にサイバー犯罪に手を貸してしまっている現状が間違いなくある。

 さて、次回は犯人像にもう一歩踏み込んだお話ができるようにしたいと思います。

この記事が気に入ったらサポートをしてみませんか?