ランサムウェア考察
最近猛威を振るっているランサムウェアだけど、トレンドマイクロさんの記事で「身代金を支払う」ことはおすすめできないというのが書かれていたりして、ちょっと気になった…。
はじめに〜オレの記事は、犯罪者に利することを目的とするものでは「ありません」
いろいろと書いてるうちに、「こいつは犯罪者/攻撃者の片棒を担ぐのか?」と言われそうなことも出てくるかもしれませんが、そんなつもりは1ビットもありません。
あくまで「客観的」「中立」にものごとを考察した結果であって、そんなたいそうな意図は全くありません。
「身代金を支払っても元に戻る保障はない」というのは本当か?
まあ、本当だと思う。ただこれは、ソフトウエアのバグなどに起因して、(攻撃者側が)戻す意図があってもできないケースなどもありうるため、どの程度「元に戻らない」のかはよくわからない。
ケーススタディ:ランサムウェアに感染してカネを払っても元に戻らないと何が起こる?
こんだけ流行ってる状況を見ると、ランサムウェアは、すでに犯罪者ネットワークでは認知されたビジネスモデルになっていると考えるのが自然だ。
そして、ランサムウェアの生成から配布までをサービスとして提供するRansomware as a Service(RaaS)も出始めている。
RaaSは、通常のSaaSなどと同じように、おおまかに3種類のステークホルダからなるビジネスモデルと理解している。
- RaaSプロバイダ - 信頼性の高い暗号化機能を持ったRansomware提供および復号サービス提供を行う
- RaaSユーザ - RaaSプロバイダからサービスを購入し、Ransomware被害者からカネを取る
- Ransomware被害者 - RaaSユーザに対してカネを支払う
上記のうち、金銭のやりとりは「RaaSプロバイダ - RaaSユーザ間」と「RaaSユーザ - Ransomware被害者間」で成立するが、仮に「カネを払っても元に戻らない」ということがあると、何が起こるかを以降で検討する。
「カネを払っても元に戻らない」のがRaaSユーザに起因する場合
RaaSユーザの意図的な行動により、Ransomware被害者が「カネを払ってもデータが元に戻らない」となった場合、最たる被害者は Ransomware被害者よりもRaaS提供者になる可能性が高い。
これは、復号できないがため、カネを払わずバックアップから戻すという(攻撃者にとって一銭のカネにもならない)アクションをRansomware被害者に取られる可能性が高いからであり*1、Ransomwareの出来不出来にかかわらず「ナントカというRansomwareに感染すると、カネ払っても復元できない」という風評被害がRansomware被害者を起点に広がり、「そんなRansomwareを生成するRaaSなんぞカネにもならんから使わねえ!」という(意図的に復元できないようにしたRaaSユーザ以外の)まともな(?)RaaSユーザはそのRaaSプロバイダを敬遠する理由になるからだ。
信頼性の高いSaaSであっても、プラスアルファをつくり込んだり実際にエンドユーザにサービス提供する会社がへたなことをやって、SaaSプロバイダまでまとめて疑われる構図に似ている(エンドユーザに(誤解とはいえ)疑われるサービス基盤を提供するSaaSプロバイダを誰が使いたいと思うだろうか?)。
もっとも、そのようなことを防ぐために、RaaSプロバイダ側もRaaSユーザを選ぶのではないか?(もしくは、RaaSで生成されるRansomwareは、暗号化や復号のためのコア機能はRaaSユーザには触らせないのではないか?)。
*1:そうでなくともバックアップから戻すだろうけどw
「カネを払っても元に戻らない」のがRaaSプロバイダに起因する場合
このような場合はもはや論外でw、RaaSユーザはまずそのプロバイダは使わない。
自分に非がないのに自分が儲けられないってのは普通に嫌だろうから。
流行(普及?)しているランサムウェアは、実はカネさえ払えば確実に復元できるのではないか?という仮説
上記のことより、広域に流通している/よく発見されるランサムウェアは、実はカネさえ払えば(自身のサービスの信用を維持するために)確実に復号できるのではないか?という仮説が成り立つ。
致命的なバグ(本来意図した復号機能を提供できない/暗号化や復号機能にバグがあり、暗号化しても復号できない)を作ってしまったSaaSプロバイダは、SaaSユーザから死ぬほど叩かれるし、そんなサービス誰が大々的に使いたがるだろうか?
また、何らかのトラブルがあった場合、きちんとした商売を心がけているRaaSプロバイダやRaaSユーザは、(やってることがそもそも違法ということもあり)誠実に対応するとかんがえられる。これは、山崎はるかさんが書かれたコラム「ピーコの追い込み」の中の一節も、一つの根拠になっている。具体的には以下のように書かれている。
残りの60%の主催者や管理者の氏名・住所はつかめていない。が、プライマリメールアドレスは掴んでおり、なかなかしっぽを出さない場合は、わざとトラブルを演出して 吐き出させた。
(違法販売をしている人はタレコミを恐れるがばかりに、トラブルに対しては カタギの企業よりも誠実に対応する)
基本は「普通のセキュリティ対策」+「こまめなバックアップ」と「バックアップされたデータのオフライン保存」
「カネさえ払えば復元できるならば」と思う人はいいけど、何度も何度も引っかかるようなケースも想定できるので、その度にカネ払うのはちょっとどうかと…
なので、そんな(Ransomware被害から復旧するために攻撃者に支払う)カネがあるならば、そのカネを使って普通にセキュリティ対策を充実させるなり、バックアップ装置を購入するなりしたほうが、よっぽど建設的だろう。