被害額3億2500万ドル(約400億円)のCryptoWallランサムウェアの調査結果レポートを共同で発表

今週、CryptoWall Version 3ファミリに関する共同研究結果が、Cyber Threat Alliance(注)から発表されました。『Lucrative Ransomware Attacks Analysis of the CryptoWall Version 3 Threat(高額な見返りが得られるランサムウェア攻撃:CryptoWall Version 3の脅威に関する分析)』(英文) で、Intel SecurityとCTAの他のメンバーは、以下の図に記載されたCryptoWallのライフサイクルの要素を調査しました。

Cw3lifecycle300x146_2
出典:Cyber Threat Alliance、『Lucrative Ransomware Attacks: Analysis of the CryptoWall Version 3 Threat(高額な見返りが得られるランサムウェア攻撃:CryptoWall Version 3の脅威に関する分析)』

このブログでは、CryptoWallランサムウェア攻撃を蔓延させる原因となっている、経済的なインフラストラクチャに焦点をあてます。 

調査では数千件のサンプルを研究しました。その一部は詳細分析用に手作業で抽出したものです。その他は自動的に複製されたものです。このアウトプットを基に、すべての情報を一連の大きなデータセットに集約しました。次に、身代金を集めるために使用されたビットコインウォレットを含む共有されているインフラストラクチャを理解するため、データの関連付けと分析を行いました。

関連付けの例を以下に示します。これはビットコイン取引の最初のステップを示したものです。

Cw3bitcoinpath300x119_2

調査したすべてのCryptoWall攻撃で使用されている最初のウォレットを特定し、次に他のビットコインウォレットへのお金の流れを追跡しました。被害者が身代金を支払うと、そのお金はすぐに別なビットコインウォレットに送金され、このビットコインウォレットから別なウォレットに次々と送金されます。場合によっては、このような送金が1日何度も行われることがあります。

調査では数千件の取引を分析しました。そして最終的に「マスターウォレット」にたどり着いたのです。このウォレットには、数千の取引で得た多額のビットコインが集約されていました。

CryptoWall攻撃は2015年2月に始まりましたが、マスターウォレットは2014年4月に開設されました。今年2月以前の取引元は不明ですが、2月にCryptoWall攻撃が活発になってからのものを分析しました。ビットコインをドル換算した場合の平均的な価値を基に取引金額を計算したところ、2か月の調査期間中にCryptoWallに起因するランサムの推定額が3億2,500万ドル(約400億円:11月20日現在)になりました。

このレポートでは、このようなランサムウェアファミリの配信メカニズムとしてのAnglerエクスプロイトキットについても検討しました。2015年10月にはCisco Systems,Inc.のTalosグループの研究者が、Anglerの背後にあるグループをどのように崩壊させたのかについて詳しく説明したレポートを発表しています。このレポートで、Talosグループはランサムウェアによる年間の収益が6,000万ドル(約74億円:11月20日現在)に上ると報告しています。Talosチームに確認したところ、ある月に関していえば、Anglerのプロキシサーバーのうち1つを除くすべてが、CryptoWallランサムウェアに利用されていたことがわかりました。CryptoWall攻撃者がAnglerエクスプロイトキットにアクセスするためには、一定の料金を支払う必要があったのです。CryptoWallによる身代金を収益として得られるため、攻撃者はAnglerの料金を簡単に支払うことができました。

このように、CryptoWallや同じようなランサムウェア攻撃で得られる収益に引きつけられて、サイバー犯罪者が類似のランサムウェア攻撃やアフィリエイトプログラムに参加したり、 新しいサービスを「ransomware-as-a-service」として開発し始めたりしていると考えられます。こういった要因を考えると、この種の攻撃は今後増加することが予測されます。ただし、エンドポイントでランサムウェアを阻止できるテクノロジが開発されるまで、Cyber Threat Allianceで開始したセキュリティパートナー間での迅速に予兆を検知することによって、この種の脅威を阻止することができます。

Intel Securityによるこの種の脅威の検出方法については、関連するこちらの記事を参照してください。

【参考】

ランサムウェアに関する企業向けソリューション概要
ランサムウェアから大切なデータを守る

注: Cyber Threat Alliance とは、
インテルセキュリティ、フォーティーネット、パロアルトネットワークス、シマンテックが発足メンバーとなり、それぞれの顧客に対して、進化するサイバー脅威への防御を改善するために、脅威情報を共有することを目的として、設立された組織です。
URL: http://www.cyberthreatalliance.org/

※本ページの内容は McAfee Blog の抄訳です。

原文: Ransomware: an Insight to Financial Gain
著者: Christiaan Beek(The Director of Threat Intelligence, Malware Operations at McAfee Labs, part of Intel Security)

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速