ニュース

中3作成の“ランサムウェア”、トレンドマイクロが分析結果

 神奈川県警が不正指令電磁的記録(ウイルス)作成の容疑で5日に逮捕した大阪府内の男子中学生が作成したランサムウェアについて、トレンドマイクロ株式会社が公式ブログで解説している。

 トレンドマイクロによれば、中学生が作成したとみられるランサムウェアの検体を入手して分析した結果、ランサムウェアとしての要件を満たしており、すでに同社のウイルス対策ソフトでも検知するよう対応したとのことだ。ランサムウェア本体はバッチファイル(.bat)で、オープンソースのツールである「aescrypt.exe」と「openssl.exe」を実行。12桁のランダムな文字列を暗号鍵として生成し、これを用いて特定フォルダー内のファイルのみをAES暗号化するという。

ランサムウェア本体であるバッチファイルの内容

 次に暗号化前のオリジナルのファイルを削除し、暗号化に使用した鍵をAESで暗号化し、ファイルとして保存するとともに、htaファイルで作成された脅迫文の画面が表示される。

ランサムウェアが表示する身代金要求メッセージ例

 ただし、ファイルの暗号化は、カレントフォルダー直下に用意されてバッチファイルで指定されている特定のフォルダーのみを対象に実行される。この点についてトレンドマイクロでは、配布された状態のままでは、実際のランサムウェアとして有効なファイル暗号化の活動は行えないとしている。ただし、バッチファイルの内容は容易に変更できるとしている。

 トレンドマイクロでは、12桁のランダムな文字列を生成するコードについて、「海外のプログラマー向け情報サイト上のサンプルコードと同一であり、インターネット上の情報を参考にしながらこのランサムウェアを作成していった作成者の姿が浮かびます」としている。

ランサムウェア本体であるバッチファイルの12桁のランダムな文字列を作成する部分

 さらに、ファイルの復号に必要となる鍵を暗号化する際に、RSAなどの公開鍵暗号を用いず、バッチファイル内にハードコードされている鍵を試用していることから、実際にランサムウェアとして悪用された場合にも復号ツールの対応は容易だったとしている。

 2011年7月に施行された改正刑法では、不正指令電磁的記録について、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と規定。正当な理由なく、人の電子計算機における実行の用に供する目的でウイルスを作成または提供した場合は、3年以下の懲役または50万円以下の罰金となる。同様に、正当な理由なくウイルスの取得・保管を行った場合は、2年以下の懲役または30万円以下の罰金となる。

 このほかブログでは、2015年7月に出版社ウェブサイトへの不正アクセスの疑い(不正アクセス禁止法違反および私電磁的記録不正作出・同供用容疑)で逮捕された当時17歳の少年や、同じく2015年に不正指令電磁的記録提供等の容疑で逮捕された14歳の中学生が、海外のアンダーグラウンドサイトから入手した“作成ツール”を使用して、日本語表示を行うランサムウェアを作成していたことに触れつつ、今回の事例では、ランサムウェアを“自作”していたことを相違点に挙げている。

 また、警察庁の発表によれば、2011~2015年の不正アクセス禁止法違反事件の被疑者のうち、年代別で最多なのは14~19歳の未成年者であり、インターネット上ではサイバー犯罪につながる情報が容易に入手可能である状況や、未成年者が自己顕示欲や承認欲求を発端として不正プログラムを作成し、逮捕に至る証拠を残しやすいことも挙げている。

過去5年間の不正アクセス禁止法違反事件における年代別被疑者数推移