ランサムウェアの身代金を横取りするTorプロキシサイトの存在をProofpointが確認した。既に対策を講じているランサムウェア運用者もみられるという(Proofpointの記事、 The Registerの記事、 HackReadの記事)。

ランサムウェアの多くはTorの.onionサイトを使用し、身代金の支払先となるビットコインワレットのアドレスを表示する。.onionサイトへのアクセスにはTor Browserが必要となるが、Torプロキシサイトを経由してアクセスすることも可能だ。Torプロキシサイトのドメイン名は「onion.〇〇〇」という形式になっており、.onion URLのドメイン名に「.〇〇〇」部分を付加してアクセスすることで、Torトラフィックを通常のWebトラフィックに変換してくれる。しかし、悪意のあるTorプロキシサイト運営者がページの内容を書き換えて中間者攻撃を行うことも可能だ。

Proofpointが身代金を横取りするTorプロキシサイトの存在に気付いたのは、ランサムウェアLockeRの身代金支払いポータルに「onion.top」を使用しないよう赤字で記載されていたことだ。そのため、LockeRをはじめとして複数のランサムウェアの身代金支払いページをTor Browserおよびonion.top経由で表示して比較したところ、ビットコインワレットのアドレスが書き換えられることが確認された。書き換え先アドレスへの送金額は1月29日時点で2万ドルを超えているという。ただし、中にはアドレスの書き換えが行われないランサムウェアも存在するとのこと。

このようなTorプロキシサイトを使用すると、被害者が身代金を支払ったつもりでもランサムウェア運営者側には届かず、ファイルの復号鍵は入手できない。そのため、信頼関係で成立するランサムウェアビジネスにとっては深刻な問題となる。ランサムウェア運用者側の対策としては、LockeRのようにonion.topを使用しないよう注意喚起するものや、ビットコインアドレスをHTMLタグで分割してTorプロキシサイトによる検出を困難にするもの、ランサムメッセージをTor Browserで開いた場合にのみ身代金支払いページにアクセスできるようにするものなどが確認されているとのことだ。