今最も稼いでいるランサムウェア攻撃グループ「REvil」のビジネスモデルと人材獲得術

Revilとは如何なる集団なのか（C）AFP＝時事

　米独立記念日の3連休を直前に控えた7月2日（金）、史上最悪規模のランサムウェア攻撃が発生した。米IT資産管理ソフト会社「カセヤ」がランサムウェア攻撃を受け、同社の遠隔IT監視・管理ソフト「VSA」を使っている顧客やそのさらに顧客の1500社あまりでデータが暗号化されてしまった。

　英国、ドイツ、カナダ、メキシコ、アルゼンチン、ケニア、南アフリカなど少なくとも17カ国に感染が広がった。中でも被害が深刻なのは、米国とドイツであり、学校や地方自治体、旅行業者、信用組合など多様な業種に影響が及んだ。

　スウェーデンでも被害が拡大している。スーパー大手「コープ」は、レジのシステムに障害が発生、7月3日までに約800店舗全てが一時閉鎖に追い込まれた。コープ自体はカセヤの直接の顧客ではないが、コープの使っているITサービス企業がカセヤを利用している。スウェーデン国営の鉄道と大手の薬局チェーン、ガソリンスタンド・チェーン、公共テレビ局でも障害が発生した。

　米国では、今年5月に米パイプライン大手「コロニアル・パイプライン」と食肉加工世界最大手の「JBS」に対する大規模なランサムウェア攻撃が2件立て続けに発生し、米国内の経済活動や国民生活に甚大な被害が及んだばかりである。

　ジョー・バイデン大統領は、こうした重要インフラへのランサムウェア攻撃を安全保障上の由々しき懸念事項とみなし、6月にジュネーブで開かれたウラジーミル・プーチン大統領との米露首脳会談でもこの件を取り上げたばかりだった。

サプライチェーン悪用でドミノ式の被害拡大

　5月の事件は、１社を狙ったランサムウェア攻撃であっても、エネルギーや食品など多業種が依存する企業が感染すれば、経済安全保障に大打撃を与え得ると示した点で衝撃的であった。

　ところが今回のカセヤへの攻撃は、同社の顧客企業とそのサービスを使っている企業へのドミノ式の被害拡大を狙ったものであり、目的も感染の規模も全く異なる。

　カセヤの遠隔IT監視・管理ソフトは、さまざまな場所に散らばっているコンピュータやサーバーなどのIT資産がどのような状況にあるのかを監視し、管理するために使われる。多くのITサービス企業が顧客の企業に提供しているネットワーク管理などのサービスで使っている。つまり、今回の攻撃は、カセヤのサプライチェーンを悪用し、より多くの組織のITシステムに感染を広げ、身代金を要求しようと狙ったものだ。

　今回の攻撃は、VSAサーバーの脆弱性を突いて行われたが、当時、その脆弱性の修正方法は確立されていなかった。カセヤは被害拡大を防ぐため、約4万社の顧客に連絡を取り、早急にVSAサーバーを一時停止するよう求めた。さらにクラウド版のサービスを一時停止した。

　7月5日時点で顧客のうち直接影響を受けたのは60社弱だった。しかし、サーバーとサービス停止で間接的に影響を受けた企業の数は、7月４日時点で少なくとも3万6000社に上る。

「手数料」は身代金の25％

　今回の攻撃者は、ロシア語圏で活動する犯罪グループ「REvil（レヴィル）」と見られる。2019年4月から活動しており、現在最も稼いでいると言われるランサムウェア攻撃グループだ。

　REvilとは、「Ransomware Evil（邪悪なランサムウェア）」の略語であり、その名が示すように、卑劣な手口で身代金を集めている。

　今年5月に食肉加工世界最大手のJBSへランサムウェア攻撃を仕掛けたのも、このグループで、1100万ドル（約12億円）の身代金を得ている。

　彼らのビジネスモデルは、ランサムウェアを作って「サービス」として売り、「顧客」が被害組織から得た身代金の25％ほどを手数料として受け取るというものだ。要求する身代金の額は、5万ドル（約555万円）程度から5000万ドル（約56億円）である。

　REvilは、５月も７月も、３連休でサイバーセキュリティ担当者が不在になり、サイバー攻撃への対応が遅くなりがちなタイミングを敢えて狙って攻撃した。特に７月は、コロナ禍でなかなか家族との再会や旅行もままならない辛い1年の後、やっと日常生活の戻って来た休暇とあって、連休中に遠出する米国人の数は史上最大規模の推定4770万人に上る。

　カセヤ事件の被害組織は、小規模な企業で4万5000ドル（約500万円）程度、大企業で500万ドル（約5億6000万円）の身代金を払うよう要求された。犯罪グループが起こした1回のランサムウェア攻撃で、これだけ膨大な数の被害組織が出たのは前代未聞である。

　被害組織がたとえ支払いを決めたとしても、交渉が殺到していてREvilと連絡が取りづらくなるのではないか、とオーストリアのセキュリティ企業「エムシソフト」のアナリストのブレット・キャロウは指摘していた。

　そうした懸念があったためか、事件発生から３日目の7月4日、REvilは、ダークウェブ上に通知を出し、カセヤへのランサムウェア攻撃で自らのウイルスが使われたと初めて認め、7000万ドル（約78億円）の身代金の一括払いを持ちかけた。払えば、今回感染したシステム全てをまとめて1時間以内に復旧させるための鍵を提供するとしている。その後の報道では、5000万ドル（約56億円）にまで下げると示唆、値下げ交渉に応じると述べたそうだ。

シベリア地域に住むアレックスの例

　REvilなど、ランサムウェア攻撃に関わっているハッカーたちはどのような人物で、何故数ある職業の中からランサムウェア攻撃者になったのだろうか。

　今までに複数のジャーナリストやセキュリティ企業が、ランサムウェアを使ったハッカーたちにインタビューをしている。犯罪者たちの言い分にどこまで信憑性があるかは慎重に見極める必要があるものの、彼らの動機などについて興味深い情報が得られる。

「MountLocker」と呼ばれる種類のランサムウェア攻撃グループのメンバーは、「俺たちのほとんどは、家族や子供、恋人、両親、ペットがいて、趣味もあるし、問題も抱えているんだよ」と語り、普通の人間としての側面も攻撃者にあると仄めかしている。

　また、米IT企業「シスコ」の脅威分析チーム「タロス」は今年1月、「LockBit」と呼ばれる種類のランサムウェアを使った攻撃に関わっているハッカーへのインタビューをまとめた報告書を出した。

　シベリア地域に住んでいるアレックス（仮名）は30代前半の男性と見られ、趣味は世界史と料理、音楽だという。2000年代からITに興味を持ち、自分でも色々勉強してきた。その甲斐あって、IT企業に就職し、働きながら大学の学位を得た。

　卒業後もIT業界で働き続けたものの、アレックスは段々と不満を募らせるようになった。例えば、折角サイバーセキュリティ上の欠陥を見つけ、それを担当者に伝えても感謝されず、完全に無視されることが続いたという。これだけ知識を有していて、西側諸国だったらサイバーセキュリティ担当者としてもっと稼げたはずなのに、給与が何故こんなに安いのだろうとの怒りを抱くに至った。

　そこでサイバーセキュリティのスキルを悪用し、サイバー犯罪の道を歩むようになった訳だが、当初アレックスは、ウェブサイトの改ざんなどさまざまな種類のサイバー犯罪に手を染めた。数あるサイバー犯罪の中でランサムウェアを最終的に選んだのは、金儲けがしやすく、なおかつ企業に教訓を与えられるからだという。

　他のランサムウェア攻撃者へのインタビューでも、金儲けのしやすさは攻撃を仕事として選択する大きな動機の１つになっているようだ。

人材募集の手付金100万ドル

　それでは、ランサムウェア攻撃グループはどのようにして人材を集めているのだろうか。

　REvilのように、ランサムウェアをサービスとして提供している犯罪グループの場合、ウイルスを作れるチーム、また確実にターゲットを感染させられるだけのITシステムやネットワーク、侵入方法に関する豊富な知識を持ったチームが必要だ。さらに、身代金支払い額の交渉担当チームも不可欠である。

　そのため攻撃手法に関するコンテストの開催やオンライン広告、ソーシャルメディアでの宣伝など、あの手この手で優秀な人材を惹きつけようとしている。

　昨年1月に英セキュリティ企業「デジタル・シャドウズ」が出した報告書によると、REvilはロシア語のハッカー・フォーラムで、賞金１万5000ドル（約166万円）のコンテスト開催について宣伝を出した。応募したい場合、誰もまだ見つけたことのない脆弱性を突いた攻撃法など、5つあるトピックの中から１つ選んで論文を提出しなければいけない。しかも、それが実効性のある攻撃だと証明するための動画などの添付も求められる。宣伝には、優勝すれば、REvilと「相互にとって有益な条件」で働けるとも書かれていた。

　また、昨年秋、REvilは、侵入方法の知識を備えた人材募集の広告をロシア語のハッカー・フォーラムに出した。ビジネスとしての募集だという本気度を示すために、手付金として100万ドル（1億円強）相当のビットコインを提示している。

　さらに昨年10月、REvilのメンバーが、ロシア語のユーチューブ番組とメッセージアプリ「テレグラム」番組に出演、ビジネスの内幕を赤裸々に語った。年1億ドル（110億円強）の収益を上げていると自慢している。

　また、ウイルス作成チームは10人未満だが、侵入スキルを持ったチームは10人以上を抱える。顧客の仕事はターゲットのITを感染させ、バックアップデータを暗号化し、ファイルを盗み取ることであり、被害組織との身代金の支払い交渉はREvilが担当するとも説明していた。

　さらに、「ランサムウェア攻撃で最も旨みのあるターゲットは誰か？」との問いに対し、「ITサービス企業、保険会社、法律事務所、製造業、そして奇妙に聞こえるかもしれないが農工業コンビナートだ」と答えている。

　日々第一線でサイバー攻撃と戦う守り手は、相当のストレスに晒される。週末や祝日も返上でサイバー攻撃の対応に当たることも、珍しくない。若手の場合、離職までの平均期間は１年から１年半だ。国際サイバーセキュリティ非営利団体の見積もりによると、現在、世界ではサイバーセキュリティ人材が312万人不足している。

　ランサムウェア攻撃グループですら、優遇措置をちらつかせ、ITやサイバーセキュリティの最新知識を有した多様な人材を集めようとしているのだ。ランサムウェア攻撃をはじめサイバー攻撃による被害が増え続ける中、企業や政府も守りを担う貴重な人材の価値を認め、労苦に報い、貢献に見合った処遇と敬意を供しようとしなければ、負け戦になるばかりである。

米国はロシアに対抗措置を取るのか

　バイデン大統領は、7月９日にプーチン大統領と電話会談し、ランサムウェア攻撃者がロシア政府からの指示を受けていなかったとしても、ロシア国内で活動していた場合、ロシア政府には取り締まりの責任があると伝えた。その上で、国民と重要インフラを守るために、米国政府はいかなる必要な措置を取るとも述べた。

　会談後の記者会見で、ランサムウェア攻撃に使われたサーバーを対抗措置として攻撃するのは理にかなっているかとの質問に対し、バイデン大統領は、「そう思う」と回答している。

　米国に大規模な被害をもたらすランサムウェア攻撃が続いているため、目に見える形で対抗措置を取るようバイデン大統領に求める圧力が高まってきた。

　７月２日には、米サイバー軍の法務部のカート・サンガー海兵隊中佐が共著で論文を発表、ランサムウェア攻撃などのサイバー犯罪が安全保障上の脅威となっていると指摘した。そして、司法機関がなかなか対応できないような国境を跨いで行われる高度かつ大規模なサイバー攻撃については、軍による対応も必要ではないかとの考えを示している。

　論文の末尾には、国防総省や米国政府の考えを代表したものではなく、あくまでも筆者個人の考えに基づく論文だとの但し書きがある。しかし、これだけ踏み込んだ意見が、このタイミングで米サイバー軍のしかも法務部の軍人から出てくるのは異例だ。今後の米国政府の対応が注目される。

----------

松原実穂子（まつばら・みほこ）

NTT チーフ・サイバーセキュリティ・ストラテジスト

早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ　組織を脅威から守る戦略・人材・インテリジェンス』（新潮社、大川出版賞受賞）。

----------