Photo: news.softpedia
4月12日に史上最大のランサムウェア攻撃、ワナ・クライWannaCryは世界150カ国以上、30万台以上のコンピュータを感染、大きな混乱を招いた。直後に、サイバー攻撃の実行犯を巡り、セキュリティー会社、ハッカー、各国のサイバー犯罪対策課、マルウェア研究者らは実行犯探しに一斉に動いた。
Credit: thehackernews
専門家による分析で、過去のハッキングとの類以性や特徴から当初はロシアのハッカー集団とされた。その後、米シマンテックをはじめとして複数のセキュリティー会社や研究者は朝鮮の「ラザルス」グループの犯行であるとする調査結果をだした。しかし、異なる視点から分析された新たな調査結果では、中国ハッカー集団の犯行の可能性が浮上した。
米Flashpoint Intelligenceは、28の言語によるランサムノート(感染したコンピュータの画面に表示された要求メッセージ)を調査した結果、英語及び中国語の簡体字と繁体字を除く全ての言語のランサムノートはGoogle翻訳により作成されていると結論をだした。
特に目立ったのが、間違った文法やおかしな表現で、機械的に翻訳されていることである。他社の調査はインフラストラクチャや能力と技術面に重点を置いているが、Flashpointはランサムノートの文章を言語学的な視点から実行犯を特定する方法をとったのである。
WannaCryのメッセージに特徴
調査の結果、「WannaCryが表示するメッセージを書いた人物は、中国南部・香港・台湾・シンガポールなどで話されている中国語を流暢に話す人物であり、またネイティブではないものの英語に慣れ親しんだ人物である可能性が高い」と発表している。
北朝鮮ハッカー集団の疑いに関しては、韓国語で書かれたランサムノートは明らかに英語の文章を翻訳した粗悪なものであり、英語と中国語以外はgoogle翻訳が使われたとされる。
サイバー攻撃の攻撃者に焦点を置いたアプローチで犯人像と地域が絞り込まれたように見える。技術面の分析に加え、犯人の残した手がかりの意図も考慮した総合的な調査でより犯人特定が進むと思われる。
今回のWannaCryの機能を一時的に停止させる「キル・スイッチ」が発見されたことから比較的早く感染拡大が収束された。しかし、今後感染手法が多様化し、標的プラットフォームが拡大するなど進化されたランサムウェアの脅威が予想される。
Credit: thehackernews