ロシア系ランサムウェア攻撃者集団「コンティ」大量リークの真相

執筆者:松原実穂子 2022年5月12日
エリア: ヨーロッパ
ロシアのウクライナ侵攻はサイバー犯罪集団にも大きな影響を及ぼしている(C)KanawatTH/stock.adobe.com
ランサムウェア攻撃集団「コンティ」の内務情報が大量にリークされ、組織構造やロシア政府とのつながりが明るみに出た。リークをしたのは1人のウクライナ人研究者。その動機は?

 


ウクライナ侵攻を巡る内部対立

 2月24日にロシアがウクライナへの軍事侵攻を開始して直ちに、複数のハッカー集団がウクライナ側やロシア側への支援を表明した。ロシア政府支持を表明したサイバー犯罪者集団の1つが、ランサムウェア攻撃者集団の「Conti(コンティ)」である。

 2月25日、 コンティは、ロシア政府への全面支援を表明し、ロシアに対してサイバー攻撃や戦争行為を行う組織への重要インフラ攻撃のため、あらゆるリソースを使うとダークウェブ上で宣言した。

 ところが、この姿勢に猛反発したのが、コンティのウクライナ人メンバーたちだった。1時間後、コンティは当初の宣言文を修正せざるを得なくなり、「いかなる政府とも連携しておらず、現在続いている戦争を非難する」と言い直し、重要インフラへの攻撃に関する文言を削除した。

 但し、修正文でも、「欧米の挑発行為とロシア連邦の市民にサイバー戦を用いるとの米国の脅しに対応するため、万が一、欧米の挑発者たちがロシアやロシア語を話す地域の重要インフラを狙おうとしたならば、コンティは全能力を振り絞って報復措置をとると正式に宣言するものである」と言っており、欧米諸国への敵愾心を残したままだ。

 コンティは、2020年に登場したランサムウェア攻撃者集団であり、ロシア情報機関との繋がりも指摘されている。米国政府の2021年9月の発表によれば、2020年春から2021年の春にかけて400回以上もの攻撃を行った。また、米国内外の組織に対するランサムウェア攻撃検知数は、今年2月末時点で、1000回以上にも及ぶ。日本企業への攻撃も確認されており、現在最も活動が活発なランサムウェア攻撃者集団の1つだ。

ウクライナ人による大量リーク

 しかし、声明文が出てから3日後の2月28日、ウクライナ人のサイバーセキュリティ研究者が、コンティの内部情報を6万件以上リークした。2021年1月末から、リークの前日の2月27日までの内部メッセージには、コンティと被害者とのやりとりや、身代金を被害者から受け取る際に使っていたビットコインのアドレス情報も含まれている。

 リークされた情報が本物であることは、米サイバーセキュリティ企業の「レコーデッド・フューチャー」や米セキュリティ・サイト「ブリーピング・コンピュータ」などの調査により判明している。

 その後、この膨大な内部情報によって、コンティの内情についての分析がかなり進んできた。

 イスラエルのサイバーセキュリティ企業「サイバーイント」のシュミュエル・ギホンによると、コンティには350人くらいのメンバーがおり、過去2年間に27億ドル(約3507億円)相当の暗号資産を稼いだと推測されるという。

ハイテク企業のような組織構造

 また、イスラエルのサイバーセキュリティ企業「チェック・ポイント」が分析したところ、コンティがハイテク企業のような組織構造になっていることも判明した。

 人事部門では、毎月の賞与、月間最優秀社員賞、業績評価などを行う。業績評価が悪ければ、罰金が科せられる。その他に、プログラミング部門、検査部門(コンティがターゲット組織のセキュリティ検知をすり抜けられるか試す)、暗号化部門、攻撃に使うサーバーやドメインなどを扱うシステム管理部門、リバースエンジニアリング部門、攻撃部門、交渉部門などで構成され、管理職が経営層を支える仕組みとなっている。部下が数時間オフラインになってだらけていると、怒り出す中間管理職もいるようだ。

 サイバーセキュリティに関する調査報道ジャーナリストのブライアン・クレブスのブログ「クレブス・オン・セキュリティ」には、技術的なスキルを持っているのに給与が安い、同じ作業の繰り返しでヘトヘトになるといった、コンティで働く犯罪者たちの怨嗟の声が綴られている。大半のメンバーの月給は、1000〜2000ドル(約13万〜23万円)だ。

 そのため、末端のメンバーたちが燃え尽き症候群になる率や辞める率は高いようである。結果、新たな働き手の募集が必要となる。

犯罪組織と知らずに「就職」する人も

「チェック・ポイント」によると、募集は、犯罪者同志のツテを使う場合とロシアの正規のヘッドハンティング・サービスを使う場合とがある。もっとも、犯罪者である彼らがそうした正規のサービスを真正面から使うことはできない。故に、コンティは履歴書データベースに無断でアクセスし、候補者にメールで直接連絡している。

 しかも、コンティには、自分の勤務先がサイバー犯罪組織だと認識しないまま働いている人々もいるようだ。

 就職時のオンライン面接では、管理職が「ここでは全てが匿名であり、主な事業内容はソフトウェアのペネトレーションテストを行うことだ」と誤魔化した説明をしている。

 ペネトレーションテスト(侵入テスト)とは、該当するシステムやネットワーク、アプリケーションの脆弱性を検証するため、サイバー攻撃をシミュレーションしてみることを指す。実際のハッカーからサイバー攻撃を受ける前に脆弱な箇所の穴を埋め、セキュリティ強化に資することを目的としている。

他のハッカー集団とも協力

 リークされた情報から、コンティと他のハッカー集団との協力関係についても明らかになってきた。

 例えば、今年2月以降、日本企業や大学、自治体の間でも感染被害が急拡大しているコンピュータウイルス「Emotet(エモテット)」関連のハッカー集団とも協力しているようだ。コンティ攻撃者集団は、エモテットに感染したコンピュータを有償で借り、そのコンピュータを足がかりにしてランサムウェア攻撃を仕掛け、ランサムウェアに感染させる。

 エモテットに感染すると、今までにやりとりしたことのある相手の氏名、メールアドレスやメールの本文などの情報が盗まれてしまう。そして、あたかも今までに自分がやりとりしたことのある相手からの返信メールのように見えるなりすましメールが作られ、他の人々に送付されていく。そのため、ついなりすましメールの添付ファイルをクリックし、感染してしまう人がネズミ算的に増えていく。非常に厄介なコンピュータウイルスだ。

疑われるロシア連邦保安庁との関係

 リーク情報から、コンティはロシア国内に複数の事務所を構えていることも判明している。

 サイバーセキュリティ企業「チェック・ポイント」で脅威インテリジェンスのトップを務めるローテム・フィンケルシュタインは、「これだけ大きな組織で事務所を複数持ち、巨額の利益を得るには、ロシアの情報機関の全面的な承認か、ある程度の協力がなければ無理なのではないか」と指摘した。

 実際、米サイバーセキュリティ企業「Rapid7」は、昨年4月9日にコンティの幹部「マンゴー」とメンバー「ジョニーボーイ77」間で交わされた会話から、ロシア連邦保安庁(FSB)がコンティの資金の一部に関与していたと見ている。

 尚、この「ジョニーボーイ77」がとりわけ高い関心を寄せていたのが、ロシア野党指導者のアレクセイ・ナワリヌイの毒殺未遂事件に関する英調査報道機関「ベリングキャット」の調査だった。ナワリヌイは快復した後、ベリングキャットと協力して実行犯を追っていたが、米サイバーセキュリティ企業「トレリックス」が調べたところ、コンティのメンバーたちはその情報について、「よし、ナワリヌイ関連のものを保存しておこう。ナワリヌイFSBフォルダーに入れておこう」と話し合っていたという。

ロシア企業への攻撃に利用されたコンティ・ランサムウェア

 3月20日、先述のウクライナ人研究者がコンティ・ランサムウェアのソースコードをリークした。ただ、この情報は諸刃の刃だ。

 サイバーセキュリティ研究者や企業が使えば、コンティの使っているランサムウェアを分析し、防御策や復号化ツールを開発する手助けになる。

 一方、米セキュリティ・サイト「ブリーピング・コンピュータ」が指摘しているように、他のランサムウェア攻撃者集団がソースコード情報を悪用して、攻撃を仕掛ける恐れもある。実際、トルコのハッカーが「ヒドン・ティア」と呼ばれるランサムウェアのソースコードを2015年8月に発表した後、そのソースコードが他の主体による複数の攻撃に使われたことが確認されている。

 このコンティのリーク情報も早速、アノニマス系のハッカー集団「ネットワーク大隊65(NB65)」に利用された。NB65は、ロシアのウクライナ侵攻を受けてロシアを攻撃するために結成したと主張している。

 NB65は、リークされたソースコードに手を加えて、ターゲット組織のセキュリティ・システムから検知されにくく、しかも暗号化能力を向上させたランサムウェアを作成し、3月末からロシアの組織へのサイバー攻撃を開始した。NB65のランサムウェアに感染すると端末画面に表示される身代金要求文には、「あなたの大統領は戦争犯罪をすべきではなかった。現状の責を負うべき人物を探しているなら、それはウラジミール・プーチンだ」というメッセージが表示される。

 ロシアの組織がランサムウェア攻撃を受けるのは珍しい。というのも、ランサムウェア攻撃者たちは、ロシアを拠点としているケースが多く、ロシア企業さえ攻撃さえしなければ、ロシア司法当局による取り締まりをほとんど受けずに活動を行えてきたからだ。コンティ攻撃者集団も、ロシア国内の組織へのランサムウェア攻撃をメンバーに禁じてきた。

アノニマス系ハッカー集団「NB65」

 NB65は、「ブチャの後、我々は狙う企業を選んだ。民間企業の中でも、ロシアが平常通り機能する上で影響力を持つ企業だ」「我々はウクライナを支援している」と表明している。

 米ワシントン・ポスト紙の取材に対し、NB65は、ウクライナや他国の政府当局者からのいかなる指示や支援も受けていないと述べた。

「私たちは自分でインフラの支払いをし、仕事や家族の義務とは別に個人的な時間を使ってこの活動をしている。何も見返りは求めていない。正しいことだからやっている」

「ロシアが自分の薬の味見をするべきだと思った。コンティはたくさんの頭痛と痛みを世界中の企業に与えてきた。ロシアがウクライナでの愚かな行為をやめれば、我々も攻撃を完全にやめる」

 また、今のところ身代金の支払いは受けていないが、あればウクライナに寄付するとのことだ。

 NB65がサイバー攻撃したと主張している組織には、ロシア国営宇宙企業「ロスコスモス」、全ロシア国営テレビ・ラジオ放送会社「VGTRK」などがある。

 VGTRKから盗んで、4月上旬にリークしたとされる情報には、過去20年分の90万通以上のメールとクラウド・サービスから奪った4000件以上のファイルが含まれており、メールには、日々の活動内容やロシアへの経済制裁などについてのやりとりが記されていたという。

CNNに語った大量リークの動機

 3月30日付のCNNは、コンティの内部情報をリークしたウクライナ人のサイバーセキュリティ研究者の男性に独占インタビューを行っている。身元は明かされていないが、CNNは、調査の結果、「ダニロ」と仮名で呼ぶこの人物がリークした本人と裏付けられたとしている。

 ダニロは、その手法は明らかにしていないが、後日コンティのメンバーになった犯罪者たちのコンピュータ・システムに2016年からアクセスできており、何年もこっそりシステムを監視し、攻撃関連の情報をヨーロッパの司法当局に渡していたとのことだ。

 なぜリークしたのかとCNNが尋ねたところ、ダニロは笑って「酷い奴らだと証明するためさ」と答えた。

 2月25日にコンティ攻撃集団が、ロシア政府への「全面支援」を表明した後、ダニロの中で何かが弾けた。ロシア軍がダニロの実家の近くを爆撃したばかりであり、ウクライナが旧ソ連の一部だった頃に育ったダニロにとって、ウクライナがまたロシアの手に落ちるのは耐え難かった。「ここは僕の祖国だ。ウクライナ政府が僕に武器をくれたら、もちろん戦う。でもタイプする方が得意だ」とCNNに語っている。

 ただ、ダニロによると、コンティに関するリークを始めてからFBIの特別捜査官から連絡があり、リークを止めるよう言われたという。コンティの使っているインフラを暴露してしまえば、コンティが新しいインフラに切り替えてしまう恐れがあり、FBIの追跡が難しくなってしまうためだ。そのため、ダニロは今のところ、リークを中断している。

 一方、元オランダ警察サイバー犯罪調査官で現在米サイバーセキュリティ企業「トレックス」のサイバー調査部門のトップを務めているジョン・フォッカーは、今回の大量リークが主要人物を司法当局が起訴する上で役立つだろうと見る。

大量リーク後も続く活動

 大量リークの後、一時的にでもコンティの活動が落ち込む可能性もあるのではないかとの見方も当初はあった。多くのロシア人とウクライナ人が互いのサイバー犯罪者集団に所属しており、ロシアの軍事侵攻を受けて両国間の緊張が高まっていることを考えると、内部情報をいつリークされるか分からない組織で働き続けたいかとの疑問が湧くからだ。

 米国家安全保障局(NSA)のロブ・ジョイス・サイバーセキュリティ局長は、今年5月上旬の国際会議で、ウクライナ軍事侵攻をしたロシアへの厳しい制裁により、サイバー犯罪者たちの送金やサイバー攻撃のためのインフラの購入が難しくなったため、ここ2カ月余りのランサムウェア攻撃数は減っていると明らかにした。

 ところがコンティについては、リーク後もランサムウェア攻撃を活発に行っている。ロシアによるウクライナ軍事侵攻と関連しているかどうかはわからないが、最近コンティの被害を受けた組織には、風力タービンメーカー、調理器具販売業者、コスタリカ政府などがある。コスタリカでは、ロドリゴ・チャベス大統領が5月8日に緊急事態宣言を発出する騒ぎになった。

 今年3月のコンティの被害者数は71に達し、昨年の月当たりの平均被害者数の43よりかなり多い。

 米サイバーセキュリティ企業「セキュアワークス」が確認した地下ハッカー・フォーラムには、コンティのメンバーの1人が、「リークによる活動への影響はほとんどなかった」と最近書き込んでいたという。

 米国務省は5月6日、国際組織犯罪報酬プログラムに基づき、コンティに関する情報提供者に最大1500万ドル(約19億5852万円)の報奨金を出すと発表した。コンティの指導者の身元や居場所に関する情報に1000万ドル(約13億568万円)、コンティに共謀している人物の逮捕につながる情報には500万ドル(約6億5284万円)の報奨金を出す。

 1986年以降、このプログラムの下、75以上の国際犯罪者や麻薬密売者たちが処罰され、1億3500万ドル(約176億2668万円)以上の報奨金が支払われてきたという。

エモテット対策も重要

 独立行政法人情報処理推進機構が毎年出している「情報セキュリティ10大脅威」では、昨年に引き続き今年も組織への脅威の筆頭に挙げられているのが、ランサムウェア攻撃である。

 コンティをはじめランサムウェアの中には、リモートデスクトップやVPN(仮想専用線)などITシステムの脆弱性を突いた攻撃を行うものが多く、被害を防ぐには脆弱性対策が不可欠だ。

 また、被害組織の業務継続に必要不可欠なデータを暗号化するだけでなく、個人情報や知的財産などの機密情報を盗んで恐喝する二重の脅迫型のランサムウェア攻撃が、日本でも増えている。警察庁の調べでは、昨年検知されたランサムウェア攻撃のうち二重の脅迫型が85%を占めた。

 そうしたサイバー攻撃の傾向から、全てのデータは無理にしても、重要なデータに関しては暗号化し、万が一、盗まれたとしても解読できないようにしておかなければならない。

 さらに、サイバー攻撃被害に遭った後の対応要領を事前に定め、定期的に見直すと共に、サイバーセキュリティ・チームだけでなく、経営層や法務、財務、広報担当者も交えたサイバー演習を行うことも重要となる。

 コンティとエモテットとの関係を鑑みると、エモテット対策も大切だ。エクセルやワード文書を開いた際、「コンテンツの有効化」ボタンをクリックすると、ウイルスに感染させる手口もあるため、業務上どうしても必要でない限り、このボタンのクリックには慎重になった方がよい。パスワード付きZipファイルやリンク付きのメールも、エモテットに悪用されることがある。

 4月25日頃からは、ショートカットファイル(LNKファイル)が添付されている例も日本で確認されるようになった。直接添付されている例とZipファイルとしてショートカットファイルを添付している例とがある。このショートカットファイルをダブルクリックなどして開くとエモテットに感染する。

 Zipファイルを使うのは、アンチウイルスソフトなどのセキュリティ対策によるウイルス検知を回避するためと考えられる。こうしたメールを受け取った場合、メールの送信元のアドレスのドメインが本当にその組織のものであるか、メールの本文に不審な点がないかをまず確認するべきである。

 

----------

松原実穂子(まつばら・みほこ)

NTT チーフ・サイバーセキュリティ・ストラテジスト

早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。

----------

 

カテゴリ: IT・メディア 政治
フォーサイト最新記事のお知らせを受け取れます。
執筆者プロフィール
松原実穂子 NTT チーフ・サイバーセキュリティ・ストラテジスト。早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。
  • 24時間
  • 1週間
  • f
back to top