2013年11月21日
カスペルスキー インターネット セキュリティ 2014の新機能(その3)
これはドン・ドレイパー(Don Draper)のセリフではない。1930年代のロシア文学の登場人物、オスタップ・ベンダー(Ostap Bender)の言葉の引用だ。もちろん、あの有名なベンダーとは関係ない。
興味深いことに、どうやらベンダー氏は、共産主義国の出身なのに資本主義について少しは知っていたようだ。ふむ…
とにかく、彼が知っていたのは、必死で稼いだお金を捨てるように仕向けることもできるということだ。人をうまく操作できればの話だが。
さて、いきなり現代の話になるが、こうした「操作」は今でも電子的な形で行われている。現代の人々は、デスクトップロッカー(ランサムウェア)を操る犯罪者に喜んで100ドル札を差し出す。デスクトップロッカーは秘密裏に動作するコンピューターマルウェアだが、カスペルスキー製品のユーザーは心配いらない。カスペルスキー インターネット セキュリティ(カスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)の新バージョンに用意した素晴らしいサプライズが、愚かなサイバー犯罪者と彼らのデスクトップロッカーを待ち受けているからだ。
デスクトップロッカー、ランサムウェアの原理や技術は、どちらかというと単純だ。
さまざまな手段のどれか1つ(ソフトウェアのぜい弱性など)を利用して、悪意のあるプログラムをコンピューターに忍び込ませ、愉快な(そうでもないか)写真と恐ろしい(カスペルスキー インターネット セキュリティがあればこの限りではない)文章を表示して、デスクトップと他のすべてのプログラムのウィンドウをロックする。
ロックを解除できる(できたと言うべきか。詳しくは後述)のは、たった1つのコードだけだ。もちろん、そのコードはコンピューターを感染させたサイバー犯罪者から入手するしかなく、当然ながら、プレミアムSMSやオンライン決済システムで料金の支払いを求められる。身代金を払うまで、誘拐されたコンピューターは戻ってこない。何をしようと(Ctrl + Alt + Delを押しても)、どんなプログラムを実行しようとしても(アンチウイルスでも)動作せず、以下のような画面が表示されるだけだ。
あるいはこんな画面か(フランス語)。
この画面かもしれない(ドイツ語)。
こんな画面も(フィンランド語)。
これかも(ロシア語)。
似たようなロック画面は他にもたくさんあり、WindowsやMacなどあらゆるプラットフォーム向けに用意されている。
数年前、ロシアや旧ソ連諸国でデスクトップロッカーが手に負えないほど大流行した。これを受けて、警察当局はサイバー犯罪者を逮捕し、刑務所に送るようになった。2010年におけるデスクトップロッカーの取引額は、楽観的に見ても300万ドル以上(悲観的に見るなら1,500万ドル以上)に及び、被害者の数は何千万人にも達した。そのうちの約5%が実際にゆすり屋にお金を支払っている。こうした犯罪者は盗んだ金でいい生活をすることに慣れ、どんどんつけ上がり、愚かな犯罪手口を次々と編み出していった。
デスクトップロッカーのまん延がピークに達したとき、私たちは無料のブロック解除ツールをリリースした。このツールはモバイルデバイス向けのアプリもWebサービスも用意されており、デスクトップロッカーに表示された犯罪者の電話番号か口座を入力すると、ブロック解除コードが生成される。ある意味「友達に電話する」ような仕組みだ。こうした解除ツールの登場によって、デスクトップロッカーの大流行は完全に終わったと思うかもしれないが、実はそうではない。犯罪者らはウォームアップをしていただけなのだ。
確かに、当社のブロック解除Webサービスへの訪問者数から判断すれば、この詐欺の規模は全体として約10分の1にまで減少している。しかし、実のところ問題は悪化しているのだ。詳しく説明しよう。
1: 当初はロシア(ソ連崩壊後)だけの現象だったが、全世界に(プレミアムSMSや電子マネーの普及とともに)広がった。そんな中、ロシア(ソ連崩壊後)のサイバー犯罪者は、国際協力につきまとう官僚的性質のせいで、海外の司法から逃れることができている。
2: 昔のデスクトップロッカーは(文字通り)「誠実」だった。身代金を払えば、本当に画面からバナーを消してくれたからだ(その後に再度ブロックしようとするかもしれないが)。今ではそんな「マナー」はなく、お金を払った後もバナーは画面に残る。これは、最近の犯罪者が意地悪になったというだけの話ではない。現在のデスクトップロッカーには解除のためのコードが含まれていないのだ。そのため、ブロック解除ツールも効果がない。何ということだ!
では、どうすればよいのか?
まず、本格的なアンチウイルスが攻撃を通過させてしまった場合は、少数の例外を除き、「外科的介入」を行い、無料のユーティリティを使って手作業でデスクトップロッカーを削除しなければならなくなる可能性がある。しかし、このリンク先のページに長々と書かれている文章を読めば、こうした「外科手術」が簡単とは程遠い作業であり、専門家による選別が必要になることをご理解いただけるだろう。そこで、私たちは今回も、専門家がいなくても使える機能を開発することにした。
カスペルスキー インターネット セキュリティ 2014には非常に有用な機能がある。デスクトップロッカーを削除できる機能なのだが、必要なのは4本の指だけ。あなた自身の指でいいのだ。3本でもいいが、何度か押す必要がある(笑) 外科手術も専門家も必要ない。そして、うれしい追加機能も用意した。先ほど述べた少数の例外はない。
どんなものかというと…
カスペルスキー インターネット セキュリティには数年前からセキュリティキーボード機能が搭載されている。これはキーロガーからコンピューターを保護するオペレーティングシステムドライバーだ。超強力なトロイの木馬か何かがコンピューターに感染して、ユーザーが入力したパスワードなどを盗もうとしても無駄に終わる。キーボードのキーが物理的に押されるのではなく、トロイの木馬には見えないバーチャルなセキュリティキーボードが押されるからだ。我々は現在、この機能を使ってサイバー犯罪者や彼らのデスクトップロッカーと戦っている。
セキュリティキーボードは、デスクトップロッカーがキーボードを完全にコントロールするのを防ぐ。ユーザーがショートカットキーCtrl + Alt + Shift + F4を(またはCtrl + Alt + Delを複数回)押すと、緊急事態が発生していることをセキュリティキーボードが認識し、カスペルスキー インターネット セキュリティ 2014にデスクトップロッカーを無効化する手順を開始するように指示を出す。もっと正確に言うと、さまざまなアンチウイルスコンポーネント(シグネチャやヒューリスティック)が感染を検知し、アクティブなプロセスとシステムレジストリのクリーンアップを実行して、画面のロックを解除する。その後、デスクトップロッカーの残りの部分を標準的なアンチウイルス手段で削除し、explorer.exeを再起動して、[Start]キー(最近は別の名前かもしれないが)と元のデスクトップを復元する。ちなみに、ここで紹介したデスクトップロッカーを無効化する仕組みは、出願中の特許の内容の一部であり、現在専門家による検証が行われているところだ。
後書き
今年の夏、米国の21歳の男がデスクトップロッカーの被害に遭った。彼のコンピューターにはこんな画面が表示された。児童ポルノが保存されているというのだ。
結局この男は警察に出頭したのだが、彼のPCには実際に児童ポルノが入っていたことが明らかになった。いわゆる、自業自得というものか…