セキュリティの
学び場

今回の解説ニュース

粗悪で安価なランサムウェアである「ジャンクガン」ランサムウェアが及ぼす影響について発表されています。「ジャンクガン」ランサムウェアが流通する経路や、既存のランサムウェアファミリについて説明します。

今回のレポートは、特に技術力の低い攻撃者が頻繁に利用する、安価で粗雑な構造の「ジャンクガン」ランサムウェアに関するものです。いくつかの闇サイバー犯罪フォーラムを調査した際に、RaaSモデルではなく、ほとんどが買い切りで販売されている独自に作成されたランサムウェアであったということです。

「ジャンクガン」ランサムウェアは、攻撃者が安価で簡単に単独で行動が起こせることを可能としており、防御やインシデントへの効果的対応のためのリソースが不足しがちな中小企業や個人を標的にしています。

確認された19種類の「ジャンクガン」ランサムウェアの内、14種類の価格は20ドルから約13,000ドルで、価格の中央値は375ドル、最頻値は500ドルでした。ほとんどの「ジャンクガン」ランサムウェアは買い切りで、サブスクリプションモデルを採用しているのは、わずか3種類だったということです。

「ジャンクガン」ランサムウェアが流通する経路

ダークウェブのフォーラムへアクセスすることができれば、「ジャンクガン」ランサムウェアについて誰でも知ることができます。

今回のレポートでは、2023年6月から2024年2月にかけて、4つのフォーラムで19種類の「ジャンクガン」ランサムウェアが販売、または開発中であることを確認しているということです。つまり、「ジャンクガン」ランサムウェアはRaaSなどと同様に、ダークウェブのフォーラムなどを経由して流通していると考えられます。

ダークウェブのフォーラムとは、通常のインターネット経由ではアクセスできない匿名性の高いオンライン掲示板です。Torと呼ばれる匿名性を高めるために設計されたブラウザなどを使ってアクセスし、違法な活動を含む様々なトピックについて議論や取引が行われています。

既存のランサムウェアファミリについて

ランサムウェアファミリとは、拡散方法や暗号化アルゴリズムなどにおいて、共通した特徴を持つランサムウェアを開発するグループです。主要なランサムウェアファミリとして、ContiやLockBitなどが挙げられます。

今回のレポートでは、少なくとも2種類の「ジャンクガン」ランサムウェアは、既存のランサムウェアファミリに関連する名前を使用しているということです。理由として、ブランドの知名度を故意に利用したり、偽造品であるランサムウェアを「正規品」らしく見せるために、意図的に従来の有名ランサムウェアの名前を使用している可能性があると指摘しています。

主要なランサムウェアファミリであるContiは、政府機関や医療機関を含むさまざまな組織を標的としており、高度な暗号化アルゴリズムと巧妙な回避技術を備えています。また、2021年に初めて登場したLockBitはRaaSモデルで提供されており、犯罪者にとって使いやすいことが特徴です。

このような実績のあるランサムウェアファミリを騙ることで、攻撃者が「ジャンクガン」ランサムウェアをより広く流通させることを狙っていると考えられます。