カスペルスキーの研究者が明かす、ランサムウェア犯罪者の事情やAI悪用の現在

今回は「カスペルスキーの研究者が明かす、ランサムウェア犯罪者の事情やAI悪用の現在」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 未知の脆弱(ぜいじゃく)性などを悪用する「ゼロデイ攻撃」の実行には多額のコストがかかるという。しかし、サイバー攻撃で犯罪者が手にする金銭も巨額になり、ゼロデイ攻撃は“使い捨て”と言えるほど簡単に使えるようになりつつある――Kasperskyのグローバル調査分析チーム エキスパートのVitaly Kamluk氏が、ランサムウェア攻撃やサイバー攻撃におけるAIの悪用について最近の調査・分析から判明した状況などを解説した。

 同氏は、Kasperskyで2005年から19年間勤務しており、脅威分析部門「GReAT」の主任セキュリティリサーチャーとしてマルウェア分析やサイバー攻撃調査、オープンソース開発などに従事する。国際刑事警察機構(Interpol)でも2年間の勤務経験があり、デジタルフォレンジックや調査報告、法執行機関向けのトレーニングを担当した。

 まず同氏は、2000年代前半に出現したランサムウェア「Gpcode」の調査・分析の取り組みを紹介した。当時はランサムウェアの脅威が現在ほど世界に認知されておらず、手探りで調査を進める中で、Gpcodeの亜種の進化を見たという。

 Gpcodeの初期バージョン「Gpcode.A」は、2004年12月4日に初めて検知された。脅迫メッセージはロシア語で記述され、プログラムの中にデータを不正に暗号化する鍵やパスワードなども含まれていたため、解析は容易だった。しかし、2006年2~6月に拡散した亜種では67ビット長のRSA暗号鍵が使われ、亜種が出現するたびに鍵の強度が高まり、最終的には1024ビット長になった。この解読には、現在のコンピューター性能を持ってしても数十年を要するほど難易度が極めて高い。

 Kamluk氏は、苦労してGpcodeのサンプルを収集し、攻撃手法や特徴などを調査。その過程でGpcodeを作成した人物の特定にも挑んだという。被害者になりすまして、さまざまなパターンのメールで犯罪者に接触を試みたところ反応があり、例えば、男性被害者になりすましたパターンでは100ドルを要求してきたが、女性被害者のパターンでは半額の50ドルを要求するなど、犯罪者が性別のバイアスを持っているといった特徴を把握していった。

 このほかにもプログラムの構造から犯罪者の開発環境を特定したり、犯罪者とおぼしき人物のインターネット上のフォーラムへの投稿内容を分析して素性を追跡したりしていったとのこと。調査・分析を進める中では、犯罪者側に複数の“失態”があることが分かり、それらを手がかりに「Stopgpcode」という対策プロジェクトを展開。攻撃者の活動の封じ込めに成功したという。

 現在のランサムウェア攻撃の調査や分析は、多数の事例やノウハウの蓄積化、ツールや手法の拡充が進み、攻撃活動の全容や詳細、犯罪者の素性など把握することが可能になってきている。

 Kamluk氏は、2000年代前半のランサムウェア犯罪者の身代金要求額が数十~数百ドル程度だったと回顧しつつ、今では数百万~数千万ドルにもなっていると指摘。その背景の1つには、攻撃を行うためのコストの上昇がある。特にゼロデイ攻撃は成功率が高い一方で、未知の脆弱性の発見に極めて高度なノウハウや多大な時間などを必要とするため、犯罪者はそれを行う人物や組織に対して高額な金銭を支払わないといけない。

 Kamluk氏によると、バンキング型のトロイの木馬で知られる「QakBot」のゼロデイ攻撃のコストは8万~16万ドル、初期侵入を行う「Exotic Lily」の場合では10万~20万ドル、多くのゼロデイ攻撃を仕掛ける「Cl0p」では10万~40万ドル、2023年に発見された「Nokoyawa」では24万~48万ドル、北朝鮮の支援を受けていると見られる「Citrine Sleet」では58万~1200万ドルに上る可能性があるという。

 上述のように、ゼロデイ攻撃手法の開発に膨大なコストを伴うため、かつては国家的な支援を受けて資金力のある標的型攻撃グループに限られていたという。ところが、AIの悪用技術の進化(後述)などによりコストダウンが進んでおり、現在では簡単にゼロデイ攻撃を実施できるようになってきたという。

 今後の動向についてKamluk氏は、ゼロデイ攻撃が拡大する一方、犯罪者側の構造が複雑化しており特定のための調査や分析は難しくなると予想する。また、ランサムウェアの標的もPCやサーバーだけでなく、電気自動車や仮想現実(VR)システム、ドローン、人型ロボットなどにも拡大していく可能性がある。

 また、新しいボットネットの台頭や、検知が極めて困難なカーネルモードで実行されるマルウェアの進化、AIのさらなる悪用も懸念されるとした。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
クラウド/データセンター領域でも存在感–英アームが描くインフラ向け事業戦略
IT関連
2022-09-21 07:46
NECネッツエスアイ、複数のロボットを一元管理する「マルチロボット管理プラットフォーム」を提供
IT関連
2023-02-18 08:59
IT/OTセキュリティで問われるのは専門性–ClarotyのバルディCEO
IT関連
2023-05-12 23:03
渋谷区・新宿区・豊島区のファミリーマート130店がバカンのトイレ混雑抑止IoTサービス「VACAN AirKnock」導入
IoT
2021-07-17 22:44
HashiCorp Cloud Platformが日本リージョンの一般提供を開始。HCP VaultとCP Consulをマネージドサービスで提供
HashiCorp
2022-08-04 08:23
昭和電工と旧日立化成が統合のレゾナックが発足–半導体材料の世界的企業へ
IT関連
2023-01-19 03:55
Googleがこっそり伝承していた“Androidお菓子ネーム” 次期Android 12はかき氷? :Googleさん(1/2 ページ)
トップニュース
2021-02-17 00:56
三菱マテリアル、人事改革に向けクラウド型人事ソリューションを導入
IT関連
2022-09-08 11:26
愛犬家のためのD2Cブランド「WON」が高級おやつの試食セット「ワンソナライズ・キット」を販売開始
フードテック
2021-08-12 04:43
Facebookがショート動画やストーリーズに広告を導入
ネットサービス
2021-03-14 09:19
新技術で天然ガスから水素を生産するC-Zeroがビル・ゲイツ氏の気候テック基金から資金を調達
EnviroTech
2021-02-11 08:31
シャープ、アクオスの「AIレコメンド」終了 「キーワード登録の方が使われた」
くらテク
2021-03-16 03:02
AWS、わざとクラウド障害を起こすサービス「AWS Fault Injection Simulator」提供開始
クラウドユーザー
2021-03-18 05:20
AIは攻撃と防御の両方で重要な役割を果たす–チェック・ポイント
IT関連
2025-01-08 03:33