先週新たに発見されたRansomwareは、2005年春に初めて登場し、ロシアのサイトが発信元であることが判明しているGpCodeの修正版であることがセキュリティ調査会社の報告書によって明らかにされた。新たなRansomware(「Glamour」とも呼ばれている)は旧バージョンと同様、感染したPC上のデータ・ファイルを暗号化し、ファイルのロックを解除する“キー”の代金として300ドルを支払うよう要求する。
米国セキュア・サイエンス・コーポレーション(SSC)の分析によると、新たなRansomwareと2006年に登場したバージョンとの間には多くの共通点があるという。例えば、新バージョンのコードで特定された168種類の関数のうち、63種類は、2006年バージョンで使われているものと同じであった。
SSCの分析リポートには、「6カ月ほどの間隔をおいて登場したこれら2種類のトロイの木馬プログラムは、同一のソース・ツリーから生まれたものだ。この事実は、オリジナルの作成者が自分で積極的にコードを修正しているか、あるいはソースコードが他のグループに渡って、そのグループが修正していることを示している」と書かれている。
つまり、基本となる同じRansomwareプラットフォームが単一のグループまたは協力関係にある一群のグループに属する複数の攻撃者の間で使い回されており、彼らが、検知システムをかいくぐって犠牲者を発見するために、一定の間隔をおいてコードを修正していることが考えられるわけだ。これが事実なら、同じコードベースを使った攻撃が今後も行われる可能性が高い。
SSCは、GpCodeの脅威を示す恐るべき証拠を発見している。SSCのリポートには、「われわれは、昨年11月から8カ月の間に51のユニーク・ドロップ・サイトから盗まれたデータを復旧させた。これらのファイルに含まれる1,450万件のレコードは、15万2,000を超える犠牲者のものだ」と書かれている。
ただ、新バージョンのRansomwareがより洗練されたRSA 4096ビットの暗号技術を使ってファイルを暗号化しているという見方は事実ではなさそうだ。旧バージョンとは異なり、新バージョンは、より単純だが、未知の手法(おそらく長くて強力なパスフレーズだと思われる)を使ってファイルが暗号化されているように見せているという。すでに多くの企業が、最新版のRansomwareによる不正な処理を回復するためのツールを開発している。
Ransomwareは大きな脅威だが、今のところ被害報告は多くない。これは休眠期間が長いというGpCodeの特徴による現象である可能性もある。2005年初頭以降、何度か攻撃が記録されており、2006年にも多くの攻撃が報告されている。
(ジョン・ダン/Techworld オンライン英国版)
米国セキュア・サイエンス・コーポレーション(SSC)
http://www.securescience.net/