「オープンソース」ウイルスの改造、悪用例(出典:トレンドマイクロ)
「オープンソース」ウイルスの改造、悪用例(出典:トレンドマイクロ)

「悪用してはいけない」。そんな警告とともに、教育目的で作り方が公開になったウイルス。サイバー犯罪者はやっぱり悪用したという。セキュリティ企業のトレンドマイクロが報告している。

トレンドマイクロが取り上げたのは、トルコのセキュリティ組織「Otku Sen」の一件だ。この組織は2015年8月中旬、教育目的で「Hidden Tear」と呼ぶウイルスの、いわば設計図にあたるソースコードを公開した。誰もが自由に使えるオープンソースとして、多くの技術者が利用する情報共有サービス「GitHub」に掲載し、一定の注目を集めたようだ。

Hidden Tearはどういうウイルスかというと、感染したPCに保存してある情報を勝手に暗号化して変換し、もとに戻して欲しければ身代金を支払えと要求するランサムウエアの一種。悪名高い「vvvウイルス(TeslaCrypt)」などの同類だ。

暗号化にAES方式を利用し、新種であるため一部のウイルス対策製品を回避できた。ソースコードを公開したOtku Senは、Hidden Tearがどのように振る舞うかの動画も公開した。もちろん警告付きで。

「Hidden Tearは役に立つかもしれないが、明白な危険もある。教育目的のみに使うべきだ。決してランサムウエアとして利用しないように!悪意がなくてもHidden Tearを実行した場合、司法妨害のかどで刑務所に入る恐れがある」

もちろん、サイバー犯罪者は悪用した。

トレンドマイクロは、改竄(かいざん)被害にあったパラグアイのWebサイトを通じてHidden Tearを改造したランサムウェアを発見した。ブラジルのサイバー犯罪者が攻撃をしかけた結果だという。

感染の流れ(出典:トレンドマイクロ)
感染の流れ(出典:トレンドマイクロ)

問題のWebサイトは2015年9月15日~12月17日の期間改竄が続き、12月18日再び改竄の被害にあった。偽のAdobe Flash Playerを配布してランサムウエアを感染させようとする古くからある手法が見られたという。

このランサムウエアに感染すると、仮想通貨/暗号通貨「Bitcoin(ビットコイン)」で 2,000ブラジルレアル相当(約5万8,000円)の身代金を要求するポルトガル語の脅迫文があらわれる。なお身代金を支払ったとしても、PCの中身をもとに戻すのは難しいそう。

トレンドマイクロは、「警告したり、善意で行ったものだとしても、今回の情報公開は適切な方法ではなかった」としている。

そもそも、Googleなどの検索エンジンにあらわれない、隠れたWebサイト群「Deep Web」などでは、取り扱いの危険な情報を公開する際、責任逃れのために明確な警告を出す例があるという。また使用を禁止した技術や知識こそ、サイバー犯罪者の興味を引きつけるとの指摘もある。

トレンドマイクロの主張は、セキュリティ関連の組織や企業が、多くの人が「知るべき」情報と「知るべきでない」情報を適切に判断すべきというものだ。

だが安全を守るためとして、一部の企業・組織に情報公開、共有の「自制」をうながす考え方には異論もあろう。

ランサムウエアは「Dark Web(Deep Webでも特に犯罪目的のWebサイト)」などで人気の商品として流通している。善意の研究者や技術者などがGitHubで無料のソースコードを公開するのを思いとどまらせたとして、どれほど効果があるかといえば疑問もある。とはいえ、パンデミック(大流行)じみたランサムウエアの氾濫に対する、セキュリティ企業の懸念も分からないではない。