最近、複数の異なるロシア系ハッカーが作成したと推測されているマルウェアやランサムウェアには、ロシアおよび同国と良好な関係にある周辺国の言語設定がなされている端末では感染せず、中断するコードが仕込まれていることが多い。とても興味深い傾向だ。
ロシア系ハッカーが最近作成しているマルウェア・ランサムウェアのコードには、多くの場合この国々で活動が中断されるコードが含まれている。これら2~3文字のコードから該当する国のリストは以下のとおり。
- AM アルメニア
- AZE アゼルバイジャン
- AZ アゼルバイジャン
- RU ロシア
- KZ カザフスタン
- KAZ カザフスタン
- UZ ウズベキスタン
- UZB ウズベキスタン
- KGZ キルギス
- KG キルギス
- MD モルドバ
- MDA モルドバ
- TM トルクメニスタン
- TKM トルクメニスタン
- TJK タジキスタン
- TJ タジキスタン
- BY ベラルーシ
- BLR ベラルーシ
この除外指定には、ジョージア(旧グルジア)、ウクライナは含まれていない。もうロシアの仲間ではないという宣言なのだろうか。ロシアと友好的な中国、インド、イラン、アフリカ諸国やトルコなども含まれていない。
これらのマルウェアやランサムウェアの配布ターゲットは、欧米および日本であるため、新たなソビエト連邦ともいえるこれらの国々のみ除外指定しているのかもしれない。
日本からでもマイクロソフトのサイトからロシア語版Windowsをダウンロードしてインストールし、日本語言語パックをあてれば、この環境に適合するはずだ。マルウェア耐性があるWindowsができあがる。
このコードが組み込まれている理由には諸説あるが、欧米で活動するこれらの国に関連した企業活動には影響をさせないという国家中枢からの指示により、サイバー軍によってサイバー民兵やハッキング組織などへ通達されていると推測される。
一方、セキュリティソフトのAVエンジン側では、動的検査のほかに静的検査というソースに戻して調査するコードスキャン技術を用いている製品がある。PC Maticはクラウド上でAIを用いた静的分析を行っているが、これらの国を除外指定しているコードが内包されている場合は、マルウェアである可能性が高いということを機械学習させることで、検出力を高めることが可能となる。
コードスキャニングしやすいコードを内包してくれていることに感謝。国家の指示が裏目に出ている。実績を出せなかった民兵組織は、ランサムウェアにより自分たちのボーナスを得ることができず現場で不満が高まることが予想される。判別しやすいマーカーを組み込んでいるのだから当然の結果だ。