カスペルスキーの研究者が明かす、ランサムウェア犯罪者の事情やAI悪用の現在

今回は「カスペルスキーの研究者が明かす、ランサムウェア犯罪者の事情やAI悪用の現在」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 未知の脆弱(ぜいじゃく)性などを悪用する「ゼロデイ攻撃」の実行には多額のコストがかかるという。しかし、サイバー攻撃で犯罪者が手にする金銭も巨額になり、ゼロデイ攻撃は“使い捨て”と言えるほど簡単に使えるようになりつつある――Kasperskyのグローバル調査分析チーム エキスパートのVitaly Kamluk氏が、ランサムウェア攻撃やサイバー攻撃におけるAIの悪用について最近の調査・分析から判明した状況などを解説した。

 同氏は、Kasperskyで2005年から19年間勤務しており、脅威分析部門「GReAT」の主任セキュリティリサーチャーとしてマルウェア分析やサイバー攻撃調査、オープンソース開発などに従事する。国際刑事警察機構(Interpol)でも2年間の勤務経験があり、デジタルフォレンジックや調査報告、法執行機関向けのトレーニングを担当した。

 まず同氏は、2000年代前半に出現したランサムウェア「Gpcode」の調査・分析の取り組みを紹介した。当時はランサムウェアの脅威が現在ほど世界に認知されておらず、手探りで調査を進める中で、Gpcodeの亜種の進化を見たという。

 Gpcodeの初期バージョン「Gpcode.A」は、2004年12月4日に初めて検知された。脅迫メッセージはロシア語で記述され、プログラムの中にデータを不正に暗号化する鍵やパスワードなども含まれていたため、解析は容易だった。しかし、2006年2~6月に拡散した亜種では67ビット長のRSA暗号鍵が使われ、亜種が出現するたびに鍵の強度が高まり、最終的には1024ビット長になった。この解読には、現在のコンピューター性能を持ってしても数十年を要するほど難易度が極めて高い。

 Kamluk氏は、苦労してGpcodeのサンプルを収集し、攻撃手法や特徴などを調査。その過程でGpcodeを作成した人物の特定にも挑んだという。被害者になりすまして、さまざまなパターンのメールで犯罪者に接触を試みたところ反応があり、例えば、男性被害者になりすましたパターンでは100ドルを要求してきたが、女性被害者のパターンでは半額の50ドルを要求するなど、犯罪者が性別のバイアスを持っているといった特徴を把握していった。

 このほかにもプログラムの構造から犯罪者の開発環境を特定したり、犯罪者とおぼしき人物のインターネット上のフォーラムへの投稿内容を分析して素性を追跡したりしていったとのこと。調査・分析を進める中では、犯罪者側に複数の“失態”があることが分かり、それらを手がかりに「Stopgpcode」という対策プロジェクトを展開。攻撃者の活動の封じ込めに成功したという。

 現在のランサムウェア攻撃の調査や分析は、多数の事例やノウハウの蓄積化、ツールや手法の拡充が進み、攻撃活動の全容や詳細、犯罪者の素性など把握することが可能になってきている。

 Kamluk氏は、2000年代前半のランサムウェア犯罪者の身代金要求額が数十~数百ドル程度だったと回顧しつつ、今では数百万~数千万ドルにもなっていると指摘。その背景の1つには、攻撃を行うためのコストの上昇がある。特にゼロデイ攻撃は成功率が高い一方で、未知の脆弱性の発見に極めて高度なノウハウや多大な時間などを必要とするため、犯罪者はそれを行う人物や組織に対して高額な金銭を支払わないといけない。

 Kamluk氏によると、バンキング型のトロイの木馬で知られる「QakBot」のゼロデイ攻撃のコストは8万~16万ドル、初期侵入を行う「Exotic Lily」の場合では10万~20万ドル、多くのゼロデイ攻撃を仕掛ける「Cl0p」では10万~40万ドル、2023年に発見された「Nokoyawa」では24万~48万ドル、北朝鮮の支援を受けていると見られる「Citrine Sleet」では58万~1200万ドルに上る可能性があるという。

 上述のように、ゼロデイ攻撃手法の開発に膨大なコストを伴うため、かつては国家的な支援を受けて資金力のある標的型攻撃グループに限られていたという。ところが、AIの悪用技術の進化(後述)などによりコストダウンが進んでおり、現在では簡単にゼロデイ攻撃を実施できるようになってきたという。

 今後の動向についてKamluk氏は、ゼロデイ攻撃が拡大する一方、犯罪者側の構造が複雑化しており特定のための調査や分析は難しくなると予想する。また、ランサムウェアの標的もPCやサーバーだけでなく、電気自動車や仮想現実(VR)システム、ドローン、人型ロボットなどにも拡大していく可能性がある。

 また、新しいボットネットの台頭や、検知が極めて困難なカーネルモードで実行されるマルウェアの進化、AIのさらなる悪用も懸念されるとした。

元記事: https://japan.zdnet.com/article/35227043/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
売り上げ1兆円を目指す富士ソフト、カギは新規事業と生産性向上に
IT関連
2024-04-09 12:28
怖いのは改ざんに気付かず結果を盲信–デルCTOが語るAIのセキュリティリスク
IT関連
2023-06-13 02:06
第4回:AIはDevSecOpsに何をもたらすのか
IT関連
2024-05-25 13:12
運用管理とセキュリティを統合した「XEM」を提供–タニウムが事業戦略
IT関連
2022-04-27 06:42
Railsを高速かつセキュアにするHTTP/2プロキシ「Thruster」、37signalsがオープンソースとして公開
HTTP
2024-03-26 01:46
CSIRTの歴史的変遷で探るインシデント対応の課題と解決の道のり
IT関連
2021-07-05 21:40
ベイシア、SaaS型の製品マスターサービスを導入–ネットスーパーの商品情報を整理
IT関連
2022-07-09 13:01
カルチュア・コンビニエンス・クラブ、書店事業で活用のデジタルビジネス基盤を機能拡張
IT関連
2022-09-15 20:30
秘匿化データによるマテリアルズインフォマティクスを実証–SBTと日本ゼオン
IT関連
2024-12-05 12:49
英国が子どものためのオンライン安全法案の草案を発表
パブリック / ダイバーシティ
2021-05-25 23:25
CircleCI、テストコードをAIで自動生成してくれるPonicodeを買収、CircleCIに統合へ
CI/CD
2022-03-11 12:37
グーグルがPythonエコシステムのセキュリティ向上を支援
IT関連
2021-02-17 06:18
ランナーの走法に合わせてシューズを設計–アシックスの考えるモノづくりと“パーソナライズ”
IT関連
2021-07-12 05:17
拡張したデジタルツインが戦力に–アクセンチュアが定義する5つのトレンド
IT関連
2021-05-25 10:55