Torプロキシサービスがランサムウェアのビットコイン送金先を書き換えたことが発覚

Translate this article into English

2018年5月最新! ▼当サイトで申込みが多い取引所

【1位】「GMOコイン」【10ヶ月連続1位!レバレッジ取引で人気!】

【2位】「bitflyer」【日本最大級取引所・人気No.1】

【3位】「ビットバンク」【セキュリティ対応No.1】

シェアする

ランサムウェアを使ってビットコインを巻き上げるのは確実に儲かるビジネスだ。Googleの報告は、ランサムウェアで恐喝したグループが2年間で2500万ドルを稼いだことを裏付けた。そして今、少なくとも一つのTorプロキシサービスが自分の取り分を得ようとしている。なぜならこのTorプロキシは身代金の送金先を自分のウォレットに書き換えていたことが発覚したからだ。

ランサムウェアの恐喝者は被害者に対して、身代金をビットコインで払うこと、そのさい当局の手から逃れるために深層ウェブを使うことを要求する。この深層ウェブの.onionドメインにアクセスするために使用するTorブラウザをランサムウェア被害者がインストールしたくない、もしくはできない場合、恐喝者はそのような被害者に.onion.topや.onion.toのようなTorプロキシを使うよう要求する。

Torプロキシサービスを使うと、ユーザーはTorのURLの後ろに.topや.toのような拡張子を追加するだけで、普段使っているGoogle Chrome、Edge、Firefoxといったブラウザから.onionウェブサイトにアクセスできるようになる。このようなサービスはランサムウェアの作者の間で徐々に人気となっている。ランサムウェアの変種の中には、被害者がこれらのサービスを使用して身代金を払えるように、代替URLを追加するものすらあった。

サイバーセキュリティ企業のProofpoint社によると、これらのサービスの少なくとも一つ、onion.topが、ランサムウェアが指定したビットコインの送金先アドレスを自分が指定したアドレスに書き換えていることが発覚した。研究者によると、このサービスは密かに書き換えを行っており、身代金の支払いから22,000ドル以上を掠め取ったようだ。

onion.topが身代金を掠め取っていたことを研究者たちが発見したのは、LockeRと呼ばれるランサムウェアの変種がユーザーに、onion.topはビットコインを盗もうとしているため利用しないように、と警告したことに研究者たちが気づいた後のことだった。その警告文には次のように書かれていた。
「onion.topは利用しないでください。このサイトはビットコインの送金先アドレスを書き換えてビットコインを盗み取ろうとしています。正しいアドレスに確実に送金するにはTorブラウザを使用してください」

onion.topは少なくとも3つのランサムウェアの変種、LockeR、Sigma、GlobeImposterのビットコイン・ウォレットのアドレスを書き換えようとする。これらのウォレットは一見したところ各サイトごとに手動で設定されているようだ。盗み取られた金額が少なかったことは、身代金の移動がうまくいかなかったか、あるいはウォレットのアドレスが常に書き換えられたわけではなかったことを示唆している。

ランサムウェアの作者は身代金の移動に反撃しようとしている

複数の報告によると、影響を受けたランサムウェアの変種の作者はさまざまな方法でonion.topの身代金移動に反撃しようとしている。もっともよく行われているのは、単にユーザーがTorプロキシサービスを完全に迂回するようにしてTorブラウザから送金するようにすることだ。MagniBerなど他の変種では、アドレスが自動的に書き換えられないように、ビットコインの送金先アドレスの文字列を分割して異なるHTMLタグを経由して被害者に伝えることにしたものもある。

身代金を払うことを決心したが結局はTorプロキシサービス宛てに身代金を送ってしまったランサムウェアの被害者はランサムウェアの恐喝者に身代金を払っておらず、恐喝者の側から見ても身代金は支払われてはいないので、被害者のファイルが復号されることはない。

Proofpoint社の複数の研究者は次のように述べている。
「この状況は必ずしも悪いとはいえないものの、ランサムウェアの脅威の加害者にはビジネス上の興味深い問題を、ランサムウェアの被害者には現実的な問題を引き起こしています」

Tor Proxy Service Caught Diverting Ransomware Extortionists’ Bitcoin Payments