一般的なビジネスパーソン向けに、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、最近のランサムウェアを紹介する本連載。今回は、以下の3つのランサムウェアを紹介します。

  • Akira ランサムウェア
  • Rhysida ランサムウェア
  • Retch ランサムウェア

Akira ランサムウェア

1982年から1990年にかけて『週刊ヤングマガジン』の連載として掲載され、漫画家のみならず数多くのクリエイターに影響を与えた、大友克洋氏の漫画作品『AKIRA』。世界中の言語に翻訳され、海外の「オタク文化」を生み出すきっかけになった漫画とも言われています。2012年の映画『クロニクル』や最近の映画作品でも『クリード 過去の逆襲』、『ザ・クリエイター/創造者』なども、『AKIRA』の影響を受け、オマージュが見られると言われています。

さて、今回紹介する「Akira ランサムウェア」もその名が示すように、『AKIRA』のオマージュを標榜しているのかもしれません。被害者の誘導先になっているTORサイトもグリーンを基調とした80年代の端末を彷彿させるデザインです。

このTORサイトは他のランサムウェアのものとは異なり、コマンドを受け付けてその結果を表示する機能を持っています。例えば「leaks」コマンドを入力すると、以下のように盗まれたデータや被害者の組織情報へのリンクが表示され、「まるでコンソールのように」機能します。

また、「news」というコマンドを入力すると、被害者のリストが、被害日付やその内容とともに表示されます。

Akira ランサムウェアは2023年4月に登場した比較的新しいランサムウェアですが、同年8月には被害が急増し、20以上の組織が被害を受けました。

Akira ランサムウェアを使う攻撃者は、まずターゲットの組織(被害者)のネットワークに侵入してデータを盗みます。その後Akiraを使ってファイルを暗号化し、盗んだ情報を外部に漏らさないことと引き換えに身代金を要求する典型的な「二重脅迫型」のランサムウェアです。

CERT Indiaの勧告によれば、侵入経路は多要素認証が設定されていないVPN(仮想プライベートネットワーク)とされています。また、侵入の標的になっているのはCisco SystemsのVPNという報道もあり、8月24日、同社から顧客のシステムが被害を受けたことや防止方法が発表されています。フォーティネットは、侵入経路はVPNからだけではなく、イニシャルアクセスブローカー(標的への不正アクセス手段を提供する犯罪組織)から購入したアクセス手段も使われていると考えています。

ターゲットとなるマシンはWindowsとLinuxです。暗号化されたファイルには「.akira」という拡張子が追加されます。暗号化は、システムの動作に影響を与えると思われる一部のファイルを除外した上で実行されます。またLinuxの暗号化除外ファイルの中に、Windowsの拡張子を持つものが含まれているため、Akira ランサムウェアは、まずWindows版が作成され、それがLinuxに移植されたと考えられます。

暗号化された全てのフォルダには、以下のような「akira.readme.txt」というランサムノートを残します。この文面に従うことで、前述のTORサイトに誘導されるというわけです。

ターゲットとなっている組織や業種に偏りはなく多種多様であり、脆弱性を見つけたあらゆる組織を標的にしていると考えられます。

被害組織の国別分布では、米国が圧倒的にトップです。

もう1つ注目したいのは、これが「RaaS(Ransomware as a Service)」として提供されていることです。RaaSについてはこれまでも何度か触れたように、ランサムウェアの作成・実行に必要な各種機能をサービスとして提供するものです。

2023年8月下旬には、「Megazord」というAkiraランサムウェアの亜種が登場しており、ランサムノートで被害者に対し「Akira ランサムウェアのTORサイトにアクセスする」ように求めています。ちなみに、「Megazord」は、日本の「スーパー戦隊」ものをベースに米国で1993年に始まった、実写版スーパーヒーローのTVシリーズ『パワーレンジャー』に登場する戦闘ロボの名前です。

ランサムウェアとオタク文化の関係性にも少し興味を惹かれますが、ここで重要なことは敵を知り、被害を回避することにあります。