MACを対象とするランサムウェアが提供される　FORTINET

Mac OSを対象としたランサムウェアと、それらを提供する闇サイトについて、平成29年6月9日(米国時間)、FORTINET社の研究グループがWebサイトにて公表しました。

引用元:https://blog.fortinet.com/2017/06/09/macransom-offered-as-ransomware-as-a-service

Mac OSはWindows OSよりマルウェアに感染する可能性は低いが、これはOSに存在する脆弱性の問題ではなく、利用者のパソコンで使用されているOSの割合が、Windows OSが90%、Mac OSが6%であることが起因しています。

引用元:https://blog.fortinet.com/2017/06/09/macransom-offered-as-ransomware-as-a-service

同社の研究グループはTorの要素を用いたRaaSサイトを発見し、当該サイトではMac OSを対象としたランサムウェアを提供しているとのことです。

同研究グループは当該サイトがいたずら目的であると想定していましたが、製作者に「ランサムウェアについてのお問い合わせ」を装い連絡をとった際、サイト側から以下のような返事を受け取ったとのことです。

引用元:https://blog.fortinet.com/2017/06/09/macransom-offered-as-ransomware-as-a-service

「Apple製品の利用者数が年々増加する一方で、Mac OSを攻撃対象とするツールのニーズが高まっていると感じ、同サイトではMac OSを対象とするランサムウェアを無料で提供します。」といった内容であり、サイト側は自らをYahooとFacebookのエンジニアと名乗っています。

研究グループ

以下の事項をサイト側へ質問

「Bitcoinの支払額」「ランサムウェア攻撃を実施する日時」「USBを差し込むことでランサムウェアの実行は可能であるか」

サイト側　

「あなたの現地時間6月1日深夜にランサムウェアを作動させるのはいかがですか。時間が決まり次第、数時間以内に送信します。我々が使用するプログラムのBitcoinのアドレスを渡せるため、支払いを受け取れます。標的が支払ったらあなたのBitcoinアドレスを知らせてください。」

引用元:https://blog.fortinet.com/2017/06/09/macransom-offered-as-ransomware-as-a-service

研究グループ　

ランサムウェア作動日時に同意し、研究グループ側のビットコインのアドレスを送信

サイト側

「攻撃用プログラムの作成が完了しました。ZIPファイルとTorのダウンロードを終えておいてください。デモンストレーションの動画を閲覧し攻撃の準備をしてください。USBから感染させることも可能です。"完了"の文字がスクリーンに表示されてからウィンドウをCommand+qによって閉じてください。」

添付されているファイルは完成した攻撃プログラムのサンプルです。

引用元:https://blog.fortinet.com/2017/06/09/macransom-offered-as-ransomware-as-a-service

以上のやりとりの最中、サイト側からの返信が早いことから、研究グループはランサムウェアについて追求を試みます。

研究グループ

「暗号化はどのような方法ですか。無料ソフトウェアによって復号化は不可能か」

「標的が感染したことをあなたたちはどのように知るか。私が一人以上のユーザへ感染させた場合あなたたちはどのように差別化するか」

引用元:https://blog.fortinet.com/2017/06/09/macransom-offered-as-ransomware-as-a-service

サイト側

「ハードドライブが暗号化されたとの報告が我々に入り次第把握可能です。複数の端末でこのプログラムをインストールしてもかまいません。鍵はMacのシリアルナンバーから生成され、感染した標的から暗号化ファイルとシリアルナンバーを受け取ります。復号には数年かかります。」

引用元:https://blog.fortinet.com/2017/06/09/macransom-offered-as-ransomware-as-a-service

同研究グループの見解としては、やり取りの中の返信の時間の間隔からして、サイト側と時差の違いの可能性を指摘しています。