Linux向けの強力なランサムウェア「Akira」が、セキュリティ研究者の解析によって復号された。研究者は、感染したユーザーのログデータを分析し、Akiraが暗号鍵の生成にナノ秒単位のタイムスタンプを利用していることを発見。これを手がかりに、GPUパワーを活用したブルートフォース攻撃を実施した。

オンプレミス環境では時間がかかりすぎたため、クラウドGPUサービス「RunPod」や「Vast.ai」を活用し、RTX 4090を16枚使用して約10時間で復号鍵を解析。最終的に1,200ドルと3週間を要したが、被害者のデータ復元に成功した。

この復号ツールは現在GitHubで公開されており、最適化を進めることでさらなる高速化も期待される。ただし、ツールを使用する際は必ずデータのバックアップを取ることが推奨されている。

Akiraランサムウェアの暗号化メカニズムとその突破口

Akiraランサムウェアは、Linux環境を標的とする強力なマルウェアであり、独自の暗号化手法を採用している。このランサムウェアは、4つの異なるタイムスタンプシードを用いて暗号鍵を生成し、それをRSA-4096で暗号化したうえで各ファイルの末尾に付加する仕組みを持つ。さらに、マルチスレッド処理を活用し、複数のファイルを同時に暗号化することで、被害者のデータを短時間でロックする設計になっている。

セキュリティ研究者のヨハネス・ヌグロホは、感染したユーザーのログデータを分析し、Akiraがナノ秒単位のタイムスタンプを利用して暗号鍵を生成していることを突き止めた。この情報を活用することで、鍵の生成パターンを特定し、ブルートフォースによる復号が可能であることが判明した。従来の手法では数千年単位の時間が必要とされるRSA-4096の解読も、このアプローチによって現実的な時間内で可能となった。

このような復号の成功例は、ランサムウェアの被害を軽減する新たな手法を示唆する。しかし、攻撃者側も暗号技術を進化させる可能性があり、今後の対策強化が求められる。セキュリティ業界では、ランサムウェアの暗号手法を迅速に解析する新たなアプローチが模索されることになるだろう。

GPUクラウドパワーが復号を可能にした理由

この復号作業では、GPUの計算能力が重要な役割を果たした。RTX 3060やRTX 3090といった個人向けGPUでは処理時間が長くなりすぎるため、研究者はクラウドGPUサービス「RunPod」や「Vast.ai」を活用。RTX 4090を16枚使用することで、約10時間という短時間で復号鍵の特定に成功した。

ブルートフォースによる解読は計算量が膨大になるため、高性能な計算環境が必要となる。従来のCPUではこの処理は非常に非効率だが、GPUは並列処理に特化しており、大量の暗号鍵候補を高速で解析できる。特にRTX 4090のような最新のハイエンドGPUを複数台組み合わせることで、処理時間を大幅に短縮できることが実証された。

この事例は、ランサムウェア対策におけるクラウドコンピューティングの有用性を示している。今後、さらに多くのセキュリティ研究者がクラウドGPUの活用に注目し、新たなサイバー攻撃対策の開発が進むことが予想される。ただし、攻撃者側もこの技術を応用し、より強固な暗号化手法を開発する可能性があるため、継続的な研究が不可欠である。

復号ツールの今後とリスク

現在、この復号ツールはGitHubで公開されており、誰でも利用できる状況にある。これにより、ランサムウェアに感染したユーザーが自力でデータを取り戻せる可能性が生まれた。一方で、このツールを悪用し、別の攻撃手法が開発されるリスクも懸念される。

セキュリティ研究者は、「最適化を進めることで、さらに高速な復号が可能になる」と述べているが、一般ユーザーが安易にツールを使用することには注意が必要だ。復号プロセスにはリスクが伴い、誤った操作によってデータを損失する可能性もある。そのため、ツールを使用する前に必ずバックアップを取得し、慎重に実行することが求められる。

また、攻撃者側がこのツールの存在を認識し、新たな暗号方式を導入する可能性も否定できない。セキュリティ対策としては、事前に重要データをクラウドストレージなどにバックアップする習慣を持つことが、最も効果的な防御策の一つである。今後もランサムウェアの進化に対応できる復号技術の発展が求められるだろう。

Source:TechRadar