ランサムウェア攻撃マニュアル漏洩「仲間割れ」から学ぶサイバーセキュリティ

執筆者:松原実穂子 2021年8月17日
エリア: ヨーロッパ
攻撃グループにも「掟」がある(写真はイメージです)
ランサムウェア攻撃グループは冷血だ。金を払わせるために、あの手この手で被害者をとことん追い詰める。だが、金目当てで集まっているメンバー間で仲間割れし、攻撃グループの運営側が手痛いしっぺ返しにあうことも稀にある。身代金要求されたランサムウェア攻撃グループさえあるのだ。

 

 ロシア語圏で活動しているランサムウェア攻撃集団の「Babuk(バブック)」は、今年初頭に誕生したばかりの比較的新しい集団だ。輸送、医療、プラスチック、電子機器、農業関連の業種を主に狙って攻撃している。

 今年4月には、なんと米ワシントンDC警察にランサムウェア攻撃を仕掛け、250ギガバイトもの大量の機密情報を盗み取った。そして、400万ドル(約4億4000万円)の身代金を払わなければ、犯罪捜査情報や警察への情報提供者の個人情報などを暴露すると脅迫したのである。

 その後、バブックは交渉決裂を宣言、盗んだ情報を5月にオンライン上に暴露した。その中には、米連邦捜査局(FBI)やシークレットサービスなどからワシントンDC警察が受け取っていたジョー・バイデン大統領の就任式における警備情報も含まれている。

 バブックはワシントンDC警察へのランサムウェア攻撃後、被害組織のデータの暗号化は止め、データを被害組織から盗んで身代金を要求するだけにすると宣言。そして、さらに紆余曲折を経て、7月中旬に新たにロシア語のハッカー・フォーラムをダークウェブ上に立ち上げ、「Ransom Anon Market Place(身代金匿名市場、RAMP)」と名付けた。

 これは、ダークウェブ上で違法薬物を扱っていたロシア語の巨大犯罪フォーラム「RAMP」にあやかってつけた名前だ。違法薬物フォーラム「RAMP」は1万4000人もの会員を集め、大繁盛していたが、ロシア当局によって2017年夏に閉鎖に追い込まれている。

 今回バブックが目指したのは、身代金を要求するサイバー犯罪者が集い、ビジネスをする場の提供である。会員に対しては、ロシアや旧ソ連圏への攻撃やスパム(迷惑)メールの送付を禁じた。 ところが、このフォーラムが作られてからわずか12日後、何者かがフォーラムにスレッドを作り、「スパム攻撃を受けたくなければ、24時間以内に5000ドル(約55万円)を払え」とフォーラム運営側を脅迫した。あろうことか、攻撃する側の立場が入れ替わってしまったのだ。

 運営側は支払いを拒絶、フォーラムは大量のポルノGIF画像で埋め尽くされた。米セキュリティ企業「レコーデッド・フューチャー」のブログサイト「ザ・レコード」の調べでは、運営側は少なくとも2回、投稿と会員を削除した。それでも尚、ポルノ画像の大量投稿はしばらく続いた。

報酬未払いで訴えられたダークサイド

 次はロシア語圏の別のランサムウェア攻撃グループ「DarkSide(ダークサイド)」のケースだ。

 今年5月、米パイプライン大手「コロニアル・パイプライン」に攻撃を仕掛けたことで知られるダークサイドは、事件の約1週間後、身代金を受け取るためのサーバーなど活動に必要なインフラにアクセスできなくなったと表明、活動停止を宣言した。

 司法当局と米国から圧力を受けて決めたとしているが、真偽のほどは定かではない。多くの識者は、ダークサイドが金を集められるだけかき集め、しばらく身を隠してほとぼりをさまそうとしているだけかもしれないと見ている。

 実際、ダークサイドの後継のランサムウェア攻撃グループ「BlackMatter(ブラックマター)」が7月に結成された。ブラックマターはダークサイドや、今年5月に食肉加工大手「JBS」を攻撃した別のロシア語圏のランサムウェア攻撃グループ「REvil(レヴィル)」の長所を取り入れたと主張している。米暗号資産調査会社の「チェイナリシス」が分析したところ、ブラックマターとダークサイドの身代金支払い処理インフラに共通点が見つかった。

 ダークサイドの運営側が行方をくらました直後、腹の虫がおさまらなかったのは、支払いを受けられなかった会員だ。

 ダークサイドが採用しているビジネスモデルでは、他のランサムウェア攻撃グループと同様、運営側がランサムウェアを提供し、会員が攻撃を実行して、身代金の一部を報酬として支払う。被害者が払う身代金が50万ドル(約5500万円)未満であれば、会員の取り分は75%、500万ドル(約5億5000万円)以上であれば、取り分が90%になる。

 ダークサイドの会員たちは、5月中旬、ダークウェブ上に存在するロシア語のハッカー・フォーラム「XSS」で訴えを起こし、ダークサイドの運営側がXSSに預けた100万ドル(約1億1000万円)近くの資金から未払い分の報酬を払うよう求めた。立てられたスレッド名は、なんと「人民法廷」である。

 訴えを起こした会員を「原告」、ダークサイドの運営側を「被告」と呼び、会員たちとXSSの管理者の間で支払いの可否について話し合いが進められた。XSSの管理者は、運営規則やダークサイドから預かった金の趣旨を説明した上で判決を下す。判決に対して異議のある者はスレッド上に書き込むよう求めている。

 ただし、「人民法廷」でのやりとりを額面通り受け止めるのは危険であり、茶番の可能性もある、とオーストリアのセキュリティ企業「エムシソフト」のブレット・キャロウは警告する。攻撃者たちは、ダークウェブ上のハッカー・フォーラムでのやりとりが司法当局やセキュリティ企業、マスコミに見られているのをよく知っているからだ。

攻撃マニュアルを暴露した驚きの動機

 処遇に不満を持ったハッカーに攻撃マニュアルを暴露されたのは、ロシア語圏のランサムウェア攻撃グループ「Conti(コンティ)」だ。

 確認されている限りでは、2020年5月以来、主に北米とヨーロッパの小売業、製造業、自治体や医療機関を狙ってきた。今年5月中旬にはアイルランドの国営医療サービスに攻撃を仕掛け、患者や職員に関する情報を700ギガバイト分盗み出し、2000万ドル(約22億円)の身代金を要求している。

 アイルランド政府は身代金の支払いを拒否。コンティは緩和ケアを受けていた患者の入院記録や検査結果などの個人情報を5月にダークウェブ上に流出させた。

 国営医療サービスがITシステム内の感染拡大を防ぐため、ITシステムをダウンさせたため、医師や医療スタッフは血液検査結果などの患者のデータベースにアクセスできなくなり、予約受付や治療も中断してしまった。6月末になっても、サーバーの25%が暗号化されたままとなっており、ITシステムの入れ替えなど復旧には6億ドル(約661億円)程度かかるものと見られる。

 コンティのビジネスモデルは、ダークサイドと同様、会員にサービスとしてランサムウェアを提供し、身代金の70〜80%を会員に支払う仕組みだ。ところが、処遇に不満を持った会員が8月5日、攻撃ツールや攻撃スキルを磨くためのコンティの研修資料113メガバイト分をXSS上に流出させてしまった。

 他の会員が数百万ドル(数億円)もの大金を攻撃の報酬としてもらっているのに引き換え、自分はたった1500ドル(16万円強)しか受け取っていない、というのが動機らしい。「おべんちゃらのうまい奴らの間で金が分配される」とXSS上に書き込んでいる。

 ただし、この人物が攻撃マニュアルを暴露した背景には、金銭以外の動機もあるようだ。

 米セキュリティサイト「ブリーピング・コンピュータ」によると、このハッカーは、別のランサムウェアにコンティのビジネスを横取りしようとしていたのが、コンティの運営側に発覚してしまい、出入り禁止になった。それを逆恨みし、報復のためリークしたという。

 投稿は、すぐにXSSの管理者によって削除されたが、攻撃マニュアルの一部をいくつかのマスコミが報じている。XSSの利用者の一部は、マニュアルを投稿するなんて恥知らずな奴だと罵った。今まで折角守ってきた貴重な戦術やテクニックがセキュリティ関係者にバレてしまった、と嘆き悲しむ利用者たちもいた。

マニュアルに記されていた攻撃手法

 尚、米国務省は今年7月、米国内の重要インフラへのサイバー攻撃を行う者たちの逮捕に結びつく情報提供があれば、最高1000万ドル(約11億円)の報奨金を出すと発表している。「ブリーピング・コンピュータ」の創設者兼編集長のローレンス・エイブラムスは、米国務省の報奨金制度を使って、稼ぎの低いランサムウェア攻撃者たちに裏切りを仕向けることもできるかもしれない、と指摘した。

 ロシア語で書かれたコンティの攻撃マニュアルには、第一ステップとして、標的になりそうな企業の収益をグーグル検索せよ、とある。身代金の要求金額を決めるためだ。

 その他に、本来であれば、セキュリティ担当者がサイバー攻撃への耐性を調べるために使う商用ツール「コバルトストライク」をどのように悪用すれば良いか、脆弱性を突いた攻撃をどう行うか、管理者権限をいかに乗っ取るかなどがマニュアルには記されていた。被害組織のバックアップデータ保管サーバーへの侵入方法やデータの削除についても触れられている。

 こうした攻撃手法は、特に目新しいものではない。攻撃者が侵入の穴を見つけようと虎視眈々と狙っている以上、守る側は、強固なパスワードを使用し、こまめに脆弱性対応をすべきだ。また、たとえ侵入されてもすぐに検知する仕組みや、情報が抜き取られそうになっても防止するためのデータ損失防止ツールの導入も求められる。攻撃者がバックアップデータを削除し、復旧作業を妨害して身代金支払いの確率を高めようとしている以上、オフラインでのバックアップデータの保管も必要だ。

攻撃者視点で課題を洗い出す演習を

 また、攻撃者視点での定期的な防御の検証も不可欠である。組織のセキュリティ体制向上のため、攻撃者視点で課題を洗い出し、演習を行うチームを「レッドチーム」と呼ぶ。日本でも複数の企業が導入し、セキュリティリスクの発見と管理に役立てている。

 加えて、攻撃者間の仲間割れから学ぶべきは、恨みを抱く従業員や退職者からの妨害行為への備えである。米大手通信事業者「ベライゾン」が今年5月に発表した調査では、情報漏洩の85%がこうした人的要因から発生している。従業員が業務上必要ではない情報にアクセスし、外部に持ち出していないか、アクセス権限の厳格な管理が必要だ。

情報・通信分野に関する優れた図書を表彰する大川出版賞受賞作

 さらに、社員が「自分は必要とされている」と感じ、やり甲斐を持って職務に邁進できるようにするには、経営層や管理職からの常日頃からの労いや貢献への感謝の言葉も非常に重要である。

 レッドチームをはじめとするサイバーセキュリティ人材の役割と日本の課題の詳細については、拙著『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社)をご覧頂ければ、幸いである。 攻撃グループも決して一枚岩ではない。金儲けのためなら右顧左眄し、仲間を裏切る。国境を跨いで様々なサイバー攻撃が繰り出される中、今こそ官民一体となって海外政府や企業、業界団体と最新のサイバー攻撃情報を共有しつつ、サイバーセキュリティ強化に乗り出すべきだ。

----------

松原実穂子(まつばら・みほこ)

NTT チーフ・サイバーセキュリティ・ストラテジスト

早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。

----------

 

カテゴリ: IT・メディア 社会
フォーサイト最新記事のお知らせを受け取れます。
執筆者プロフィール
松原実穂子(まつばらみほこ) NTT チーフ・サイバーセキュリティ・ストラテジスト。早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。近著に『ウクライナのサイバー戦争』(新潮新書)
  • 24時間
  • 1週間
  • f
back to top