脅威リサーチ

偽のMinecraft Alt ListにChaosランサムウェアの亜種、日本人ゲーマーに破壊をもたらすおそれ

投稿者 Shunichi Imano および Fred Gutierrez | 2021年11月9日

FortiGuard Labs Threat Research Report

影響を受けるプラットフォーム: Windows
影響を受けるユーザー:     Minecraftの日本人ゲーマー
影響:             ファイルの暗号化や破壊、身代金の支払いによるファイルおよび金銭損失の可能性
深刻度:            

Minecraftは、世界で最も人気のあるデジタルゲームの1つです。元々はスウェーデンのゲーム開発会社Mojang Studiosが2009年5月にリリースしたもので、2014年にMicrosoftはMojang Studiosを25億米ドルで買収しました。当初、Windows、Mac、Linuxプラットフォーム向けにリリースされたこのゲームは、現在では、家庭用ゲーム機やモバイル機器(AndroidやiOSなど)をはじめ、22のプラットフォームで利用できます。ゲーム人口は着々と増加し、2021年8月には、月間のアクティブプレーヤーが1億4,000万人以上に達するなど、Minecraftは最初のリリースから12年を経てもこれまでにない人気を博しています。サイバー犯罪者が、これほど大規模なユーザーベースを標的にしないはずがありません。

FortiGuard Labsは先日、Minecraftの日本人ゲーマーを標的にしているとされるChaosランサムウェアの亜種を発見しました。この亜種は特定のファイルを暗号化するだけでなく、他のファイルも破壊し、回復不能に至らせます。ゲーマーが攻撃の犠牲になると、身代金の支払いをしてもデータが失われる可能性があります。このレポートでは、この新たなランサムウェア亜種の仕組みについて説明します。

図1:2016年6月以降のMinecraftアクティブユーザーの月間成長率(Statista社調べ)

ランサムウェアのルアーが日本のMinecraftフォーラムに投げ込まれる

ゲーマーは、良くも悪くもさまざまな目的でMinecraft内に「Alt」(代替)アカウントを作成しています。これにより、メインアカウントがBAN(利用停止)されることなく他のプレイヤーと対戦したり、代替を使ってゲーム内の身元やパーソナリティを隠したり、裏技(フェアでないやり方で他のゲーマーよりも優位になること)を使ってもメインアカウントがBANされるのを回避できるようになります。FortiGuard Labsが発見したChaosランサムウェアの亜種は、「Minecraft Alt」アカウントのリストが入っているように見せかけたファイルに隠されていました。このことから、Minecraftの日本人ゲーマーが標的にされていると考えられています。

多くの場合、AltリストはMinecraftのオンラインフォーラムで公開されていますが、これらには盗難アカウントも含まれています。しかし、ゲーマーはこうしたアカウントで上記のことができてしまうのです。これが、このランサムウェア攻撃の背後にあるものであり、被害者をおびき寄せ、ファイルをダウンロードさせ、開かせる攻撃者の手口なのです。

今回は実行可能ファイルですが、テキストアイコンを使用すれば、潜在的な被害者に対し、Minecraftの不正なユーザー名とパスワードが多く入っているテキストファイルと思わせることができます。この偽リストがどのように配布されているのかは不明ですが、このファイルが日本人ゲーマー向けのMinecraftフォーラムで宣伝されていたのは確かです。

実行可能ファイルの動作

実行可能ファイルが開かれると、マルウェアは感染したマシンで2,117,152バイト未満のファイルを検索し、暗号化します。そして、「abcdefghijklmnopqrstuvwxyz1234567890」からランダムに選んだ4文字をファイル拡張子としてファイル名末尾に追加します。

しかし、特定のファイル拡張子を有する2,117,152バイト以上のファイルは、ランダムバイトで埋め尽くされるため、身代金を支払ったとしても被害者はこれらのファイルを元に戻すことができなくなります。このような破壊的要素を有することにより、典型的なランサムウェア攻撃が今回のような攻撃に変化し、非常に厄介なコンポーネントとなっています。

マルウェア作成者が、なぜこのようなファイルサイズ値にしたのか、なぜ一部のファイルを暗号化して、他のファイルを破壊したりするようにしたのかは不明です。しかし、 興味深いことに、Chaosはもともと破壊的な機能を持つワイパーマルウェアとして出発し、後にランサム機能が追加されました。

図2:このChaos亜種が破壊の標的とするファイル拡張子リスト

攻撃が行われると、ReadMe.txtファイルがドロップされ、ビットコインまたはプリペイドカードのいずれかによる身代金の支払が被害者に要求されます。ファイルの復号化に必要な金額は2,000円(約17米ドル)程度です。これは、他のランサムウェア攻撃での一般的な要求額に比べきわめて低額です。ランサムノートでは、攻撃者によりプリペイドカードの種類が指定されていません。コンビニエンスストアでは、あらゆる種類のプリペイドカード(ネット通販、ゲーム、音楽、携帯電話料金、オンラインストリーミングサービス)が利用できます。日本国内にはコンビニエンスストアが5万店舗以上あり、プリペイドカードも販売されています。さらに、ほとんどの店舗は24時間年中無休で営業しています。

また、ランサムノートによると、攻撃者は土曜日しか対応できないとのことで不便を詫びています。マルウェアには、感染したマシンの言語設定を識別するコードが含まれず、ランサムノートは日本語でのみ表示されます。ランサムノートの形式言語と合わせて考慮すると、Chaosランサムウェアの亜種が、とりわけWindowsの日本人ユーザーを標的にしていることがわかります。

図3:ランサムノート

また、ランサムウェアは感染したマシンからシャドウコピーを削除します。これにより、被害者は暗号化されたファイルを回復できなくなり、壊滅的な状況に追い込まれます。FortiGuard Labsでは以前、ランサムウェアによるシャドウコピーの削除に関するブログを公開しました。幸いにも、このChaosランサムウェアには、感染したマシンからデータを盗むコードがありません。

また、このマルウェアはデスクトップの壁紙も変えてしまいます。身代金を支払うように被害者に圧力をかけているのだと考えられます。

図4:ランサムウェアによって置き換えられたデスクトップの壁紙イメージ

結論:Chaosランサムウェア亜種

このChaosランサムウェアの亜種や感染経路については、特に目新しいことはありません。しかし、要求される身代金が低額なわりに、データを破壊して回復不能に至らせる能力は、Minecraftの日本人ゲーマーを不快にさせる単なるいたずらでは済まされません。これもランサムウェアであることには変わりなく、今回の場合は、身代金の支払有無問わずファイルが元に戻らない可能性があります。最善のアドバイスとしては、ユーザーは詐欺的なゲームサイトには近づかず、本来の方法でゲームを単純に楽しむことです。

フォーティネットのソリューション

FortiGuard Labsでは、レポート内でのあらゆる悪意のあるファイルサンプル向けに、次のようなアンチウイルスカバレッジが用意されています:

MSIL/Filecoder.AGP!tr.ransom

混乱を招きやすく、日常業務や評判に損害を与える可能性があり、個人を特定できる情報(PII)などが意図せずに流出する可能性があるため、すべてのAVおよびIPSシグネチャを最新に保つことが重要です。

IOC(Indicators of Compromise:侵害指標)

SHA2:

1a00c3f9173ee4c6f944e2dcebe44ca71f06455951728af06eba0f945e084907

aacce549a756cd942ee79f57625d0902ce79315f4e4bfb1381afa208599d7be5