2017年12月20日
株式会社Doctor Web Pacific
Anomali社のセキュリティ戦略ディレクターであるTravis Farrell氏とFlashpoint社の研究責任者であるVitaly Cremez氏によると、最近、フォーラム管理者はサイトを彼らの制作物を販売するサイトを使ったマルウェアデベロッパーに対して膨大な数の否定的なコメントを投稿しているという。
しかし、もしあなたがこの理由を、フォーラム所有者が被害者への同情に駆られ、そして、病院や産業施設が攻撃されることを嫌い、罪のない人々に影響を及ぼす可能性を忌避したいと考えているからだと思うなら、もう一度考えなおしてください。
彼らの不満の理由は一般的には4つあると考えられている。
暗号化ランサムウェアはあまりにも多くの人の注意を引いてしまうこと、他の種類のサイバー犯罪を妨げること、当局によってサイバー犯罪アンダーグラウンドが脅かされる可能性があること、ロシアに対して容易に解き放たれる可能性があることが挙げられる。
暗号化ランサムウェアによる攻撃は広範囲にわたって世間の注目を引き付けてしまうため、企業が新しいセキュリティ対策を導入したり、以前の脆弱なネットワークへのアクセスをブロックしたりするなどの対策を打ってしまうため、他の犯罪者によるスパイ活動が不可能になってしまう。
言い換えれば、暗号化ランサムウェアは、他の犯罪者のビジネスを妨げます。 この類の議論は、利己的な関心の影響をうけます。 ある犯罪グループにとっては、他の人の活動がビジネスに干渉してしまうことが気に入りません。
では、販売が禁止されているとしましょう。次に何が起こるでしょうか?
悪名高い事件がサイバー犯罪アンダーグラウンドで否定的な反応を引き起こしたのは初めてではない。 例えば、昨年開催されたMiraiボットネットを含むDDoS攻撃の後、ハッカーフォーラムはそのような攻撃の調整のために使用するソフトウェアの販売を禁止した。
この禁止によって、スマートデバイスを介して行われる攻撃の数は減ったでしょうか?もし減ったとしても、その影響は軽微なものです。
まず、アンダーグラウンドフォーラムは互いに競争しているため、1つのフォーラムが何かを禁止しても、その訪問者は単に別のフォーラムに移動するだけです。
アンダーグラウンドフォーラム訪問者の48.5%のみが暗号化ランサムウェアの販売禁止を承認した。そのうえ、管理者自身が、ランサムウェアの売り上げから分け前を受け取っているため、その利益の一部を放棄することは容易ではない。
第二に、彼らが言うように、人はダークネットのみで生きてはいけません・・・暗号化ランサムウェアのソースコードは、パブリックドメインとアンダーグラウンドフォーラムで見つけることができます。そして、この結果は予想できます。
動作中の悪質なプログラムのコードをGitHubへアップロードすることは、あまり良い考えではありません。そのコードが研究目的でのみ作成したと主張することは、リポジトリからの削除を免れることはできますが、本物のマルウェアを作成するために、本物の犯罪者がソースコードを素早く借りてしまうのを確実に阻止することはできません。その事例を見つけるためにあなたは非常に難しい検索をする必要はありません。Hidden TearとEDA2のソースコード、CryptoTroopeとHeimdallのソースコードをGitHubで利用できるようにした後に起きたことを思い出してください。
とはいえ、一部の研究者に起きた失敗経験は、同僚たちの行動の抑止にはなりません。2016年5月にbrucecio9999はGitHubで CryptoWire ランサムウェアのソースコードを公開しました。問題のプログラムは、AES-256暗号を使用してデータを暗号化する機能的なランサムウェアスクリプト種です。それはまだダウンロードできます。
このコードを使用して、3つのランサムウェアが既に作成されています。オリジナルと同様に、それらはすべて、ハードドライブだけでなくUSBスティックやリムーバブルディスク上のデータをも暗号化し、感染したシステム内のクラウド共有アプリケーション(Onedrive、Dropbox、Googleドライブ、およびSteam)も危険にさらします。「すぐに使用できる」CryptoWireは、30 MB未満のサイズのファイルのみ暗号化しますが、この値は変更ができます。
だから、ランサムウェア(や、他の悪意のあるプログラム)を含めた各種攻撃が、犯罪者たちが自身の良心に悩まされることによって止まることを望んでも無駄なのです。
#encryption_ransomware #cyber-crime #malware
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments