これまでランサムウェアは、感染させるとデータを暗号化してしまい復旧するためには身代金を要求するのが常道だった。ところが今回発見されたランサムウェアの要求は送金ではなく、オンラインゲームを1時間プレーすることだった。いったい、このマルウェアの目的は何か。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
研究者たちは被害者のファイルを人質にするランサムウェアの新種を発見した。この新種はファイルの復旧に幾分変わった要求をする。セキュリティ調査企業マルウェアハンターチーム(MalwareHunterTeam)の調査を引用しながら、米国セキュリティ情報サイトであるブリーピングコンピューター(Bleeping Computer)はこうレポートしている。
このランサムウェアは「PUBGランサムウェア」と呼ばれ、ESETでは「MSIL/Filecoder.HD」として検知されるものだ。これが実行されるとファイルとフォルダをユーザーのデスクトップ上だけで暗号化して、それらに「.PUBG」という拡張子を付け足すのだ。
そしてプログラム起動時、脅迫文が書かれたスプラッシュ画面が表示される。被害者のデータなどのデジタル資産を解放するために、この良心的とすら言えるランサムウェアがユーザーに要求するのは「プレーヤーアンノウンズ バトルグラウンズ」(PlayerUnknown’s Battlegrounds)というゲーム(一般にこのゲームは「PUBG」として知られており、ランサムウェアの名もそれに由来している)を1時間行うことだけだ。
だが、脅迫文ではそう述べているものの、実際にはPUBGを起動する実行ファイルを3秒間実行するだけで復号を開始できるということが明らかになっている。
どちらにしても、ゲームをしてもしなくても、このランサムウェアはユーザーを解放するつもりのようだ。脅迫文は「復旧コード」を載せており、それを利用するのに何か他の条件を課しているわけではないということが、はっきりと分かるようになっているのだ。
ランサムウェアの脅迫文(出典:ブリーピングコンピューター)
分析の結果、このランサムウェアはコンピューター上で動いているプロセスにタブを付けており、「TslGame」というプロセスが動いていないかをチェックすることが分かっている。TslGameはPUBGが立ち上がるときに必ず起動するプロセスだ。かなり単純な手口だが、これが、被害者がゲームをプレーしているかをランサムウェアが判断する手段となっている。このランサムウェアがどのようにして拡散しているかは明らかになっていない。 2017年度のサイバーセキュリティ概況の中間報告の中で、私たちはユーザーにゲームをプレーすることを要求する別のランサムウェアについて報告している。この新たなランサムウェアは「レンセンウェア」(Rensenware)と呼ばれ、被害者がファイルを取り戻すためには日本製のパソコンゲームを行って「正気の沙汰でない」レベルのハイスコアを叩き出すことを要求する。
だが、こうした奇妙なマルウェアはランサムウェアが現在示している脅威の衝撃度を減じるものでは断じてない。こうした手法はそれほど古くからあるわけではない。しかし、恐喝攻撃がいかに多くのダメージを与え得るのかを、はっきりと思い起こさせてくれるものなのである。
ESETの上席研究員デヴィッド・ハーレー(David Harley)は、このトラブルを軽く扱うべきものではないとして、次のように警告する。
「このプログラムは、単なるジョークにすぎないものとされている。しかし実際にはそれほど愉快なものではない。第一に、被害者のデータに手を加えることはある環境の下ではおそらく非常に深刻な事態を招きかねない。なにしろ、このプログラムは完璧にうまく作られたもののようには思えない。私たちはこのウイルス全盛の時代にこうしたものを何度も目撃した。そこでは、趣味でウイルスを作っている人たちによって書かれたマルウェアが、意図しないものであったにせよ、不幸な結果をもたらしたケースが幾つもあった。いずれにせよ、たとえ被害者は実際に何が起こっているが正確に分かっていない場合であっても、この手のメッセージを目にするだけで非常に心配になるのは事実である。
第二に、忘れてはならないのは、これは不正アクセスと不正改造をしていることになり、大方の法制度の下では原則的に犯罪と見なされる活動のように思われる、ということである。それはおそらくは不正な意図をもったものではない。しかしそうだとしても、それが深刻に受け止められなくていいことにはならない。このようなジョークは、そのうちにユーモアでは済まされなくなるからである」