ITエンジニアのための勉強会・イベントレポート情報メディア

実際にランサムウェアに感染する様子が見られる勉強会、ゆるいセキュリティcafé
event

実際にランサムウェアに感染する様子が見られる勉強会、
ゆるいセキュリティcafé

2017.08.03

 
  • このエントリーをはてなブックマークに追加

2017年に世間を騒がせた“ランサムウェア”。セキュリティ対策をとっているはずの大手企業や行政機関が被害に遭い、現実的な脅威を再認識した方も少なくないでしょう。
ランサムウェアの検体を使って実際にパソコンがウィルスに感染する様子を見られる勉強会に行ってみました!

Misa

会場は渋谷区道玄坂、株式会社ギークス内にあるイベントスペース、21cafe(ニイイチカフェ)。ITエンジニアやクリエイターのコミュニティには、無料で貸し出してもらえるそうです。

ゆるいセキュリティCafeって?

主催者の徳山圭太さんは、堅い印象で敬遠していた情報セキュリティに仕事で関わるようになり、「ゆるい感じのセキュリティのイベントをやってみたい」と考えて企画したそうです。

「ランサムウェア感染」の講演者の齋藤由佳さん(左)主催者の徳山圭太さん(右)

1.ランサム多数決からのランサム感染

最初は、齋藤由佳さんによるランサムウェア感染のデモです。

皆さんもご存じのとおり、ランサムウェアとはパソコンの利用者を脅迫し、金銭を要求するものです。今回は検体として用意された3つのウィルスから、会場の多数決で、WannaCryが選ばれました。

①Virlock
メタモーフィック型ランサムウェア。感染すると画面がロックされて、ほぼ何もできなくなる。
②Spora
もっとも洗練されたランサムウェア。犯人グループ逃亡のため、現在は身代金要求画面が表示されなくなっている。
③WannaCry
日本でも多くの被害を出した、ワーム型感染が特徴のランサムウェア。

ランサムウェアに感染させる環境として、2台のパソコンを、ウィルスセキュリティをインストールせず、OSなどのパッチ更新もしていない、セキュリティが脆弱な状態にしてLANで接続しました。それぞれに、画像ファイルやダミーの住所録などのExcelファイルなどが用意されていました。

赤枠が感染させる前の画像ファイルです。

WannaCry.exeをクリックすると、みるみるうちに画像ファイルが暗号化されていき、サムネイルも表示されなくなりました。感染後すぐなら、復号化ツールで修復できるという話もありますが、齋藤さんの環境では復号化できなかったそうです。

LANで接続したもう1台のパソコン(緑枠)にも感染が及んでいます。2台のパソコンでメールやファイルのやりとりをしたわけでもなく、ネットワークを経由して自動的に感染していました。

感染が完了すると、おなじみの“身代金”を要求する画面(ランサムノート)が表示されます。ビットコインの口座情報やファイル破壊までのカウントダウンタイマーが記載されています。支払いをしたビットコインの取引番号を連絡すると暗号鍵を通知してくる、という体裁をとっていますが、バグのため、確認がとれなくなっているので、支払っても無駄になります。
ウクライナで報告されたPetyaという、暗号化ではなくファイルを破壊するwiperと言われるタイプのウィルスも存在します。支払ってもファイルは修復されませんし、連絡先のメールアドレスも不通になっています。いずれも金銭回収の手段が周到さに欠ける点などから、金銭目的ではないのでは、というのが齋藤さんの見解でした。

デモ環境で保有ファイルが少なかったこともあるでしょうが、ほんの5~10分で2台のパソコンが感染するのを見て、あっという間にネットワーク内に広がるのを容易に想像できました。

2.暗号化手法でランサムウェアを切る!

続いてはApoさんの、ランサムウェアによって暗号化されたファイルの復号化についてのライトニングトーク(LT)です。

ランサムウェアも一般に普及している3種類の暗号化手法を使用しているそうです。暗号化・復号化に同一の鍵を使用するAES暗号方式を用いたランサムウェアの挙動の例が紹介されました。

①共通鍵方式で被害者のファイルを暗号化する。
②暗号化が終わると共通鍵をネット上に挙げて攻撃者に渡し、パソコンから削除する。
→暗号化した共通鍵がパソコンの中に残っていると復号化できてしまうため
③攻撃者が被害者からの支払いを確認したら、その暗号キー(共通鍵)を通知する。

つまり、②の暗号キー(共通鍵)がわかれば、ファイルは復号化できるということです!

Apoさんは②の暗号キー(共通鍵)の通信を傍受することに挑戦しましたが、RSA暗号方式と併用されていて傍受はできなかったそうです。

傍受に失敗したのは、ランサムウェアは、暗号化・復号化に使う鍵が別であるRSA暗号方式を併用していたからだそうです。RSA暗号方式を併用したランサムウェアの挙動の例です。

  • ①ランサムウェアに攻撃者の公開鍵を付けて送付する。
  • ②AES暗号方式で被害者のファイルを暗号化する。
  • ③攻撃者の公開鍵で暗号化した共通鍵をネット上に挙げ、パソコンから削除する。
  • ④攻撃者の秘密鍵で共通鍵を復号化する。
  • ⑤被害者からの支払いを確認したら、共通鍵を通知する。

さらに、相手の公開鍵と自分の秘密鍵から共通鍵を生成するECDHという方式を用いるケースもあります。これは、共通鍵をネット上に挙げずにより安全に共通鍵を使用できる方式です。

①攻撃者と被害者が楕円の方程式、ベースポイント、位数などのパラメータを共有する。
②パラメータを満たす条件において、各々が公開鍵(被害者:Ya、攻撃者:Yb)と秘密鍵(被害者:Xa、攻撃者:Xb)を生成し、公開鍵を交換する。
→被害者(公開鍵;Yb、秘密鍵:Xa)、攻撃者(公開鍵;Ya、秘密鍵:Xb)を保有する。
③被害者:Xa×Ybと攻撃者:Xb×Yaの値は一致し、共通鍵Zが生成される。

いずれも世界中の数学者によって証明された、現時点で安全が保証されている暗号化方式です。
暗号化方式の数はそれほど多くなく、ランサムウェアの暗号化方式の大半が今回紹介された方式に該当しているそうです。攻撃者は安全が保証された暗号方式を使用し、かなり入念に鍵の流出を阻害しているので奪取は難しい、というのがApoさんの結論でした。

3.ランサムウェアvsアンチランサムウェア

最後に、hiroさんのアンチランサムウェアの実証結果についてのライトニングトークです。

WannaCryやNotPetyaなど、ワームのように感染するランサムウェアも出てきました。OSやソフトウェアの脆弱性を悪用したり、メールに添付したダウンローダや他のマルウェアを経由したりして感染するものがあります。

日本でも被害が広がったWannaCryの初期感染は、DoublePulsarというバックドアを経由したといわれています。DoublePulsarは米国家安全保障局(NSA)が作成したEternalBlueというスパイツールの攻撃コードを利用したものです。 DoublePulsarの感染は4月中旬頃から確認されています。日本ではメール添付での感染は確認されていないそうです。WannaCryの亜種でワームが感染を広げるために大量のパケットを送り、ネットワーク障害を起こした事例もあります。この事例ではファイルの暗号化は起動しませんでした。ちなみに、IPv6の環境ではWannaCryは拡散できないことがわかっています。
ネット上には、感染源などについて正しくない情報も錯そうしています。正しい情報を見極めることも大切です。

アンチランサムウェアに特化したアンチウィルス製品を出しているベンダーは少なく、この4社が代表的なものになります。他のウィルス対策ソフトと併用することもできます。

hiroさんは、この4製品をインストールした環境に、ランサムウェア4種を投入してそれぞれ防御できるかを実験しました。

  • ・WannaCry
  • ・Osiris
  • ・Jaff
  • ・Cerber

Kasperskyだけが4種類すべてを阻止するという結果になりました。BitDefender、Malwarebytesは全敗、CybereasonとMcAfeeはCerberのみ防げませんでしたが、残りの3種からは防御しました。防御力に定評があるKasperskyですが、やはり強いですね。
最後に、ランサムウェアに備えるための心がけについてアドバイスがありました。

「正しく怖がる」ということが大切だと感じました。日頃から情報収集を心がけ、正しい知識を持つこと、感染しないための対策とあわせて、万が一、感染してしまっても被害を最小限に抑えられる備えも大事ですね。

マルウェアが巧妙化していることを
実感できた勉強会

今回、ランサムウェアが実際にどう動くかを知って、マルウェアの手口が巧妙化していることを実感しました。ファイルの暗号化は厄介ですが、バックアップがあれば完全ではなくても復旧は可能です。しかし、社内ネットワークに感染が広がれば、かなり高い確率で業務にも影響が出てしまいます。ランサムウェアの本当の怖さは感染力の強さにあると思いました。
やはり、ウィルスセキュリティやパッチ更新も大切ですが、完全な防御はないことを念頭において、自分自身がセキュリティホールにならないよう注意しなければ、と感じました。

原稿: Misa
ITベンチャーで企画、人材開発、広報などを経て独立。現在はコンサルタント、ときどきライター。
ライターとしては、IT系以外、アニメ・マンガ、車から美容・健康まで何でもチャレンジ中。

実際にランサムウェアに感染する様子が見られる勉強会、ゆるいセキュリティcafé

この記事はどうでしたか?

おすすめの記事

キャリアを考える

BACK TO TOP ∧

FOLLOW