オープンソースの「脅迫型マルウェア」が生んだ脅迫トラブル

insiderman 曰く、　PC内のファイルを勝手に暗号化して利用できなくし、復号して欲しければ金を払えと脅迫するようなマルウェア（ランサムウェア）が最近たびたび話題になったが、このようなマルウェアをオープンソース化するという試みがある。しかし、これは残念な結果になったようだ。

　昨年、Utku Senという人物がGitHubに「hidden-tear」というランサムウェアのコードを公開した。これは「教育向け」に公開されているもののの、手を加えれば実用的なランサムウェアになるという代物であり、実際にこれを悪用したマルウェアも登場したという（インターネットコム）。ただし、hidden-tearでは暗号化ルーチンも公開されていたため、その部分をそのまま利用していた場合は暗号化されたファイルがユーザーやセキュリティ研究者によって復号されてしまう可能性がある。

　また、同じ作者が公開した「eda2」は、マルウェアの遠隔操作を行うための制御サーバー（C&Cサーバー）向けコントロールパネルをオープンソースで実装したものだ。こちらについてもいくつかのマルウェアに組み込まれたのだが、こちらはそれがホスティングされたサーバーの管理者に見つかり、復号に利用するための鍵が格納されたデータベースごと削除されてしまう、という問題が発生しているという。

　もし鍵が削除されてしまうと、暗号化されたファイルの復号は困難になってしまう。そのため、Sen氏はeda2の公開を停止した。また、これを受けてeda2を使ったランサムウェア「Magic ransomeware」の作者はUtku Senに対し、hidden-tearのソースコードについても非公開にし、さらに3ビットコイン（約1200ドル相当）を支払えばバックアップしておいたすべての鍵を公開する、との要求を行ったという。

　これを伝えているSoftPediaの取材によると、Utku Sen側はこの要求を拒否する方針のようだ。Magic ransomewareのコード中にはロシアのプーチン大統領を支持するようなロシア語のメッセージがあったそうで、ロシアとトルコが対立している現在、トルコ人であるSen氏はこれに屈することはできないという。また、Sen氏のコードにはバックドアが隠されており、Magic ransomewareを悪用しているグループはまだこれを発見できていないとも述べている。

　なお、その後交渉がまとまったようで、Sen氏はhidden-tearのコードを非公開にし、ランサムウェアの作者側はそこから15日間、無償で復号のための鍵を提供することになったという。

　スラドのコメントを読む | オープンソースセクション | オープンソース | セキュリティ

　関連ストーリー：
「vvvウイルス」、12月8日より日本でも急増 2015年12月15日
ネットで過度に騒がれた通称「vvvウイルス」 2015年12月08日
Windows 10の無償アップグレードに便乗してランサムウェアを添付した詐欺メールが出回る 2015年08月05日
Mac OS Xを狙うランサムウェア、FBIを装い300ドルを要求 2013年07月17日
ユーザーに金の支払いを要求するマルウェア、被害額は数億円 2013年02月19日