マカフィー、ビットコイン身代金型ウイルスのビジネス形態を分析

（Image: Shutterstock.com）

マカフィーは10月11日、ランサムウェアSodinokibiの分析を公開した。データを暗号化し、身代金としてBitcoinの支払い要求するタイプのランサムウェアSodinokibiは4月に確認され、キヤノンが9月に報告したとおり、日本を含め世界的に被害が拡大中だ。マカフィーはランサムウェアを用いたビジネスモデルRaaS（Ransomware as a Service）としての側面から同ウイルスを分析し、その脅威を報告している。

Sodinokibi感染被害の分布。マカフィーが同社製品MVISION Insightsを用いて視覚化した（発表資料より引用、以下同）

マカフィーは全4回の連載記事で、Sodinokibi（別名REvil）を分析する。公開中の第2回までの内容では、RaaSの代表例として確認された異なるランサムウェア「GrandCrab」との関連性を分析し、Sodinokibiがその発展型であることを説明。さらに、収集したデータを分析し、ランサムウェアを用いた大規模なビジネスとしてSodinokibiが利用されていることを指摘した。ウイルスを拡散するアフィリエイトと、ウイルス開発者の間で資金のやり取りがあり、分業によりリスクを分散し、効率的なビジネスモデルを構築しているという。

GrandCrabのRaaSモデル。「関係当事者にとってうまみがある」とマカフィーは説明

連載の第3回では、ランサムウェアを用いたビジネスでどれだけの資金を攻撃者が稼いでいるのか、アフィリエイトプログラムのデータを掘り下げて解明していくとのこと。