ランサムウェアの犯罪者は、ファイルを暗号化するマルウェアの被害者から金を巻き上げるために、巧みな心理操作を行うようになった。
SentinelOne の委託により行われた、ランサムウェア攻撃の最初の警告画面であるランサムウェア「スプラッシュ スクリーン」の背後にある心理学の分析により、サイバー犯罪者がソーシャル エンジニアリング戦術を使用して個人を操作し、支払いを引き出す方法が明らかになりました。
レスターにあるデ・モンフォート大学のサイバー心理学上級講師、リー・ハドリントン博士による報告書「ランサムウェアのスプラッシュスクリーンに用いられる心理メカニズムの探究」(PDF)では、76のスプラッシュスクリーンの言語、画像、支払い方法を分析しています。この調査では、恐怖、権威、希少性(または緊急性)、ユーモアといった主要なソーシャルエンジニアリングの手法が、ランサムウェア攻撃においてサイバー犯罪者によってどのように悪用されているかが明らかになりました。攻撃者によって、巧妙さのレベルは異なります。
スプラッシュ スクリーンのサンプルの分析から、次のような共通の傾向が明らかになりました。
時間的制約:サンプルの半数以上(57%)に「カチカチと音を立てる時計」装置が使用されていました。この手法は、被害者に緊急感を与え、支払いを急がせるために用いられ、支払期限は10時間から96時間以上に及びます。
- 結果:要求額を支払わなかったり、期限を守らなかったりした場合、最も可能性の高い結果はファイルが失われることだった。一部の画面には、ロックされたファイルをインターネット上に「公開」するという脅迫が映し出されていた。
- カスタマーサービスへのアプローチ:スプラッシュスクリーンの半数強(51%)には、ビットコイン(BTC)の購入方法の説明やよくある質問(FAQ)への回答など、カスタマーサービス的な要素が含まれていました。ある例では、被害者に「チームメンバーと話す」機会を提供しています。
- 画像:ランサムウェアのスプラッシュスクリーンには、FBIの紋章など、公式の商標やエンブレムなど、様々な画像が使われており、要求の権威性と信頼性を印象づけています。最もよく使われたポップカルチャーの画像の一つは、ホラー映画『ソウ』シリーズのキャラクター「ジグソウ」です。
- 支払い:ランサムウェアのスプラッシュスクリーンの4分の3(75%)はBTCでの支払いを要求しました。サンプルの半数以上(55%)では、最初のスプラッシュスクリーンに身代金要求が表示されていました。攻撃者が要求した金額の平均は0.47BTC(1,164米ドル)でした。調査期間中、MoneyPaxまたはWestern Unionによる送金による支払いも記録されました。
映画『ソウ』シリーズのジグソーのキャラクターが、いくつかのランサムウェアのスプラッシュ画面に使用されている [出典: デ・モンフォート大学の研究論文、SentinelOne経由]
ハドリントン博士は次のように結論付けました。「サイバー犯罪において心理学が重要な役割を果たしていることは周知の事実です。今回の研究で最も興味深いのは、主要なソーシャルエンジニアリングの手法が被害者を脅迫したり影響を与えたりするために、様々な方法で利用されていることです。ランサムウェアの増加に伴い、攻撃のこの側面、そして身代金要求の最初の言葉、画像、その他の要素がどのように被害者を脅迫するために利用されているかについて、より深く理解することが重要です。」
セキュリティベンダーNuixのサービス責任者で元米陸軍将校のクリス・ポーグ氏は、ランサムウェアを配布するサイバー犯罪者にとって、リスクと潜在的な利益のバランスが取れているのは、法執行機関の介入の可能性が低いためだと述べた。「彼らの行為と犯罪の結果の間に関連性が欠けているのも事実です」と同氏は付け加えた。
ポーグ氏は、ランサムウェアを「低スキルの攻撃」であり、ランサムウェア・アズ・ア・サービスの出現によってコモディティ化されていると説明した。「ランサムウェアは今や流行の攻撃ですが、シャドーエコノミーは活発で、犯罪者は常に新しい盗み方や金儲けの方法を編み出しています」とポーグ氏はEl Regに語った。「ランサムウェアは、数百ある攻撃経路の一つに過ぎません。」®
