データを人質に身代金を要求するランサムウェアは、企業も個人も同様に攻撃する脅威だが、ランサムウェアによる被害が発生する前に前に食い止められる可能性を示す、わずかな証拠を研究者が見つけた。
マルウェアで最も急速に成長している「暗号ランサムウェア」は、他の悪質なソフトウェアと同じ手段でコンピューターに感染すると、即座にユーザーのファイルを暗号化し、読めなくする。被害者が問題に気付くころ、マルウェアは、ファイルを再び読むための解読キー料を支払えと被害者に説明する。
簡便で強力な暗号方式をマルウェア作成者は利用しており、感染前のバックアップがなければ、ほとんどの場合、暗号化されたファイルをユーザーが元に戻す手段はなく、身代金を支払うしかなくなる。ランサムウェアは「泥棒の良心」を当てにしており、実際にほとんどの場合、料金を支払えば必要な解読キーは提供される。感染を防ぐか、攻撃の前段階で食い止める以外に、ランサムウェアから脱する方法はない。
最近のシマンテックのレポートによれば、 攻撃者は被害者を探すために毎日何百万件も感染を試行しており、数万のシステムが毎月人質に取られているという。高額な身代金の報道がニュースで大きく取り扱われる一方で、1万7000ドルを払うまでファイルの暗号化を解除できない病院など、ランサムウェアの配布者は概して、ほとんどの消費者がしぶしぶ支払うクイックヒットを探す。ファイルの解除に必要な平均請求額は2015年末の294ドルから2016年6月には679ドルと2倍以上になった、とシマンテックはいう。
2つの研究チームは、ランサムウェアが実害を与える前に察知する新手法を提案した。ウイルス対策ソフトメーカーは、特定のランサムウェアの検出が間に合っていないが、もうじきできるという。
研究者は最近、ユーザーのファイルを人質に取るためにランサムウェアが使う特徴的な行動について、効果的に検出する2つの論文を発表した。ウイルス対策メーカーは、そのような手法は研究室内では機能するかもしれないが、マルウェア作成者の素早い適応のために、現実世界で再現するかは難しいという。しかし、ランサムウェアを使うことの経済的価値を下げるような変化は近い。
ノースイースタン大学の研究者が構築した「アンベイル」と呼ばれるオフライン・スキャニング・システムは、保護された仮想環境内で疑いのあるマルウェアを実行し、管理された手法で監視し、即座にそれがランサムウェアかどうか採点する。フロリダ大学とビラノバ大学の別の研究者グループは、ほぼすぐにランサムウェアを停止できる「クリプトドロップ(CryptoDrop)」と呼ばれる リアルタイム・モニタリング・システムを構築した。
どちらのプロジェクトでも、ランサムウェアの基本的な動作を注意して見ることは同じだ。多くの文書からデータを読み、その後ファイルを(削除または上書きして)全く違う内容に書き換えるだけでなく、明確に暗号化された新しいコンテンツに差し替えるのがランサムウェアならではの行動である。アンベイルを開発したノースイースタン大学のアミン・カラズ研究員は、すべてのランサムウェアのファイルの読み書きといった行動はパターンとして特定できる、という。
アンベイルはまた、ランサム風の画面が、ソフトウェアの実行時に表示されるかどうかもチェックできる。身代金を要求するランサム風のメッセージは、OSや通常のソフトウェアが表示する画面とは似ても似つかないからだ。
インテル・セキュリティ・マカフィー・ラボのヴィンセント・ウィーファー副社長は、こうした研究を興味深いと思ってはいるが、実世界でそのままの手法で完全に効果的かについては楽観的ではない。「もし防衛側の90%が同じ特徴でランサムウェアを検出してくれば、犯罪者は、ソフトウェアの仕様を変更したり、難読化を試みたりするでしょう」
たとえば、ファイルが平文テキストから暗号化形式に変わったかどうかを検出ツールが見る場合、攻撃者は、ファイルを読めなくしたり修復不可能にしたりするとき、完全に変更したとソフトウェアが検出できないように、ファイルを部分的に暗号化するかもしれない。また、大量のファイルが急に更新されることが警告を引き起こすなら、ランサムウェアを、ゆっくり辛抱強く活動させればよい。別々のインタビューで2つの論文の著者は、ランサムウェアの基本動作は、少し形を変えられても、効果的には隠せないと強く主張した。
アンベイルを開発した研究者は、実際のマルウェアの大量のサンプルを試験し、約1万4000件のランサムウェアのバリエーションを、約97%の正解率で特定できると推定している。研究者は、マルウェア対策会社が検出していない新種のランサムウェアも発見した。クリプトドロップの開発者は、詳細不明な492のサンプル(14の主なランサムウェアの変形版)を試験し、感染後に活動を始め、中央値で10件のファイルを暗号化し、強制終了させられる前の、リアルタイムで100%を識別した。
研究者の2つのグループは、実験に適した環境で効果を測定したが、マカフィー・ラボのウィーファー副社長とF-Secureラボのセキュリティー・アドバイザー、ショーン・サリバンは、模擬ファイルや既存マルウェアのバリエーションを試験しても、実世界のごたごたと適合しないと警告する。ウィーファー副社長もサリバンも、効果が高いのは、アプリケーションの活動を調べるソフトウェアによる早期の検出のほうだという。以前のOSやパッチが当たっていないシステム、フラッシュやJavaが動作するシステムを攻撃することにおいて、ランサムウェアは無差別に広がる他の感染と何ら違いはないともいう。
ランサムウェアは他の攻撃より目につきやすいのも事実だ。ウィーファー副社長がいうとおり、ランサムウェアは「大胆不敵」であり。他のマルウェアのように、感染が発見されないようにしたり、侵入されたコンピューターの所有者と無関係の処理をしたりするわけでもない。
2つの研究チームによる具体的な研究は、直接マルウェア対策ソフトに採用されないかもしれない。だが、ウィーファー副社長は、2016年の終わりまでにはランサムウェアを阻止する新しい手法が、セキュリティソフト全般で採用され始めるだろうという。アプリケーションが世界のどこかの何かのコンピューターで実行されたかどうかを業界共通のデータベースで確認するなど、アプリケーションの起動前により厳しくチェックされる体制は、セキュリティ企業が前向きに話し合いたい戦略のひとつなのだ。
「人目を引く脅威は永遠には続かない」とウィーファー副社長はいう。ランサムウェアは消えていくが、次の脅威に取って代わられるのだ。