イランに支援されたハッカーがランサムウェアでインフラ分野の組織を標的に、米政府が警告

米政府は、オーストラリア、英国の政府とともに、イランの支援を受けたハッカーが米国の重要インフラ分野の組織を標的にしており、一部のケースではランサムウェアを使用していると警告した。

イランとランサムウェアを結びつける珍しい警告は、サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、オーストラリア・サイバーセキュリティセンター(ACSC)、英国の国家サイバーセキュリティセンター(NCSC)が現地時間11月17日に発表した共同勧告に盛り込まれている。

この勧告によると、イランの支援を受けた攻撃者が、少なくとも3月以降Fortinetの脆弱性を、10月以降はMicrosoft Exchange ProxyShellの脆弱性を悪用して、米国の交通機関や公衆衛生分野の重要インフラ組織、およびオーストラリアの組織にアクセスしているという。ハッカーの目的は、最終的にこのアクセスを利用して、データ流出、恐喝、ランサムウェアの展開などの後続作業を行うことにある。

例えば、2021年5月、ハッカーはFortigateを悪用して、米国の地方自治体のドメインを管理するウェブサーバーにアクセスした。その翌月にCISAとFBIは、ハッカーがFortinetの脆弱性を悪用して、米国の小児医療専門病院のネットワークにアクセスしたことを確認している。

今回の共同勧告は、Microsoft(マイクロソフト)が発表したイランのAPTの進化に関する報告書と併せて発表された。イランのAPTは「資金を集めるため、あるいは標的を混乱させるためにランサムウェアをますます利用している」。報告書の中でMicrosoftは、2020年9月に始まった攻撃でランサムウェアを展開し、データを流出させている6つのイランの脅威グループを追跡している、と述べている。

同社は、Phosphorusと呼ぶ(APT35としても知られる)、特に「攻撃的」なグループを取り上げている。以前はスピアフィッシング電子メールを使って、2020年の米選挙の大統領候補者などを含む被害者を誘い出していたが、Microsoftによると、このグループは現在、ソーシャルエンジニアリング戦術を採用して被害者との信頼関係を構築してから、Windowsに組み込まれたフルディスク暗号化機能であるBitLockerを使ってファイルを暗号化しているとのことだ。

CISAとFBIは、イランの攻撃者がもたらす脅威を軽減するために、OSのアップデート、ネットワークセグメンテーションの実施、多要素認証と強力なパスワードの使用など、一連の行動をとるよう組織に呼びかけている。

画像クレジット:Scott Olson / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

米司法省がテック企業Kaseyaを攻撃したハッカーを起訴、別件の身代金6.9億円も押収

米司法省は、米テクノロジー企業Kaseya(カセヤ)に対する7月のランサムウェア攻撃を指揮した容疑で、ランサムウェアREvilのギャングに関係する22歳のウクライナ人を起訴した。また、悪名高いランサムウェアグループの別のメンバーに絡む600万ドル(約6億8000万円)超の身代金を押収した。

Merrick Garland(メリック・ガーランド)司法長官は11月8日の記者会見で、Yaroslav Vasinskyi(ヤロスラフ・ヴァシンスキー)容疑者が10月に米政府の要請を受けてポーランドで逮捕され、現在、米国への身柄引き渡し手続きの最中だと発表した。ヴァシンスキー容疑者は見つからないようネット上で別名を使用していたが、今はなきランサムウェアREvilの長年関与しており、世界中の企業に対する2500件の攻撃を展開したとして告発されている。

身代金要求額が7億6700万ドル(約868億円)に上るとされるヴァシンスキー容疑者は中でも、米企業1500社超に影響を与え、身代金7000万ドル(約79億円)を要求したKaseyaへの攻撃に関与したとされていることで有名だ。

また、別のREvilアフィリエイトであるロシア人のYevgeniy Polyanin(エフゲニー・ポリアニン)容疑者は、3000件のランサムウェア攻撃を行い、被害者から約1300万ドル(約14億円)を脅し取った容疑で告発されており、米当局はこのハッキングに関連する610万ドル(約6億9000万円)を押収した。ヴァシンスキー容疑者とポリアニン容疑者は、マネーロンダリング、詐欺、保護されたコンピュータへの意図的損害の容疑で起訴されている。

「司法省は、ランサムウェアを使って米国を攻撃した者を特定し、裁くためにあらゆる手段を講じています」とガーランド氏は述べた。

米政府が狙っているのはハッカーだけではない。財務省は11月8日、身代金の取引を促進したとして、暗号資産取引所のChatexに対する制裁を発表した。

さらに、国務省は「Sodinokibi / REvilランサムウェア亜種の多国籍組織犯罪グループで重要な指導的立場にある個人の特定または居場所の特定につながる情報」に対して最大1000万ドル(約11億円)の報奨金を、またREvil亜種のランサムウェア事件に参加した個人の逮捕または有罪判決につながる情報に対して最大500万ドル(約5億6000万円)の報奨金を発表した。

先週は、5月に米国の大手燃料プロバイダーColonial Pipeline(コロニアル・パイプライン)を数日間にわたって操業停止に追い込んだ、いわゆるDarkSideランサムウェアの背後にいるハッカーに関する重要な情報に対して、同様の報奨金を発表した。この前に米国は、Colonial Pipelineがランサムウェアギャングに支払った身代金のうち230万ドル(約2億6000万円)を回収している。

司法省の取り組みにより、過去5カ月でREvilのアフィリエイト7人が逮捕された。欧州の法執行機関であるEuropol(欧州刑事警察機構)は11月8日、REvilランサムウェアを使って5000人を感染させ、恐喝しようとしたハッカー2人がルーマニアで逮捕されたことを発表した。Europolによると、身代金支払いで50万ユーロ(約6500万円)を懐に入れた氏名非公表の2人は11月4日に逮捕された。同日、クウェート当局もランサムウェアREvilの3人目のアフィリエイトを逮捕した。

10月に母国からポーランドに入国しようとして逮捕されたヴァシンスキー容疑者の他にも、2月と4月に韓国でREvilのアフィリエイトと思われる2人の人物が逮捕されたことを当局が11月8日に初めて明らかにした。

Europolは「2021年2月以降、この2つのランサムウェア・ファミリーに関連する計7人の容疑者が逮捕されました。容疑者らは合計で約7000人を攻撃した疑いがあります」と説明した。

今回の逮捕は、17カ国の法執行機関、Europol、Eurojust(欧州司法機構)、Interpol(国際刑事警察機構)が参加した「Operation GoldDust」の成果だ。この作戦には、Bitdefender、KPN、McAfeeなどサイバーセキュリティ業界からの支援もあった。Bitdefenderの研究者は、捜査を通じて技術的な見解を提供するとともに、ランサムウェア攻撃の被害者が身代金を払わずにファイルを復元できるよう、復号化ツールを提供した。

Europolによると、REvil復号化ツールは、ランサムウェア攻撃を受けた1400超の企業のネットワークの復号化を支援し、サイバー犯罪者への支払いを4億7500万ユーロ(約623億円)以上減らした。米当局によると、ランサムウェアREvil全体では、活動を開始してから2億ドル(約226億円)以上を回収した。

今回の逮捕は、ランサムウェア活動を標的とした法執行機関の一連の活動の中で最新のものだ。Europolが10月に主導した作戦では、LockerGoga、MegaCortex、Dharmaなどのランサムウェア攻撃の背後にいると考えられていたウクライナとスイスの容疑者12人が逮捕された。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

英国労働党、党員データ流出の原因は第三者業者を狙ったサイバー攻撃と発表

英国の労働党は、第三者企業へのサイバー攻撃により、党員のデータが漏洩したことを確認した。

労働党は、全党員に送られ、同党のウェブサイトにも掲載されたEメールの中で、10月29日に名前の明かされていない第三者データ処理業者から「サイバーインシデント」の報告を受けたと述べている。

詳細はまだ不明だが、労働党によると、このインシデントにより「かなりの量の党データがシステム上でアクセス不能になった」という。インシデントに対応した人物がSky Newsに語ったところによると、この事件は労働党のサードパーティサプライヤーに対するランサムウェア攻撃だったとのこと。労働党はまだこれを確認しておらず、TechCrunchはさらなる情報を求めている。

また、侵害の規模も不明で、どのようなデータが流出したかもまだわかっていない。有料メンバーの財務情報を保有している労働党は、影響を受けたデータについて「党員、登録・提携している支援者、その他党に情報を提供した個人を含む」としている。

しかし、元党員や非党員にも多くの影響があったようだ。あるTwitter(ツイッター)ユーザーは、2009年に党を脱退したにもかかわらず、データ漏洩の通知を受け取ったと主張しており、他のユーザーは、党員になったことがないにもかかわらず、メールを受け取ったと述べている。また、労働党員ではないが、労働党系組合の組合員として政治献金を支払ったことでデータ流出の影響を受けたという人もいる。

労働党には約43万人の党員がいる。同党の声明によると、調査は進行中だ。国家犯罪対策庁(NCA)、国家サイバーセキュリティセンターにも報告し、情報コミッショナーオフィス(ICO)にも報告したという。

NCAのスポークスパーソンは次のように述べている。「NCAは、労働党に影響を与えたサイバーインシデントの犯罪捜査を主導しています。我々は、潜在的なリスクを軽減し、この事件の性質を評価するために、パートナーと緊密に協力しています」。最近、英国の各政党にデータ保護の実践を改善するよう促したICOも、今回の事件について積極的に調査を行っていることを確認している。

労働党は、今回の事件の全容、状況、影響を「緊急に調査」するために、攻撃を受けたサードパーティサプライヤーとも緊密に協力していると述べている。なお、今回の攻撃では、党自体のデータシステムには影響がなかったことを強調している。

労働党がランサムウェアの被害に遭ったのは、今回の事件が初めてではない。労働党は2020年、クラウドソフトウェア企業のBlackbaud(ブラックボード)が保管していたデータがランサムウェア攻撃を受けたとして、党員に警告を発した。当時、同党は、数年にわたる寄付者の情報が流出したと考えられると述べていた。

画像クレジット:Oli Scarff / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

米国務省がランサムウェアグループDarkSideの情報提供に対し報奨金約11億円

米国務省は、悪名高いランサムウェアグループDarkSideのリーダーの特定や追跡に役立つ情報提供者に、最高1000万ドル(約11億円)の報奨金を提供し、ランサムウェア対策を強化する。

国務省によると「DarkSide亜種のランサムウェア事件の陰謀に加わったり、または関与しようとした」者の逮捕または有罪判決につながる情報に対しても、500万ドル(約5億6000万円)の報奨金を提供するとのことだ。これは、ランサムウェアグループのメンバーがランサムウェアDarkSideのカスタムバージョンを受け取り、身代金支払いの利益から多額を獲得するという、同グループのアフィリエイトプログラムを考慮してのものだろう。

「報奨金を提供するなかで、米国は世界中のランサムウェア被害者をサイバー犯罪者による搾取から守るというコミットメントを示しています」と国務省はいう。「米国は、ランサムウェア犯罪者を匿っている国が、ランサムウェア被害を受けた企業や組織に進んで正義をもたらすことを期待しています」。

ランサムウェアグループDarkSide指名手配のFBIのポスター(画像クレジット:FBI)

国務省によると、2021年初めにDarkSideがColonial Pipeline(コロニアル・パイプライン)を攻撃し、米東海岸で使用される燃料の45%を運ぶ長さ5500マイル(約8850キロ)のパイプラインを停止させたことを受けて、この懸賞金を開始した。

DarkSideは、サーバーがハッキングされた直後に活動を停止し、その後、BlackMatterというブランドに変更した。BlackMatterは9月に日本の大手テクノロジー会社オリンパスや、米国の食品・農業部門の2社を含む重要インフラとみなされる「複数の」組織を攻撃した。BlackMatterは今週、法執行機関からの圧力を受けて活動を停止するとも発表した。

今回の1000万ドルの報奨金は、国務省の国際組織犯罪報奨プログラム(TOCRP)の枠組みの中で提供される。TOCRPは、国際的な犯罪組織を崩壊させ、解体するための政府の取り組みの一環として、連邦法執行機関のパートナーとともに国務省が管理している。国務省によると、このプログラムが1986年に設立されて以来、1億3500万ドル(約153億円)の報奨金を支払ったという。

BreachQuestのCTOであるJake Wiliams(ジェイク・ウィリアムズ)氏は、国務省の多額の報奨金は、DarkSide以外へも波紋を広げるだろうとTechCrunchに話した。「これほど多額の報奨金があれば、犯罪者たちがお互いに敵対する大きな動機となります。おそらく、DarkSideへの具体的な影響よりも重要なのは、この行為がサービスとしてのランサムウェアのアフィリエイトモデル全体の信頼を損なうことだ。

「これは、法執行機関による最近のREvilへの潜入に乗じた動きで、殊更良いタイミングです。7月に行われたREvilに対する法執行機関の行動は、すでにオペレーターの間で大きな信頼問題を引き起こしていました。今回の動きは、そのくさびをさらに深くし、DarkSide以外にも影響を及ぼすものになるでしょう」。

報奨金は、増大しているランサムウェアの脅威を取り締まるためにバイデン政権が行っている一連の取り組みの中で、最新の動きだ。直近では財務省が、身代金支払いを助長したとしてSuexに制裁を科し、暗号資産(仮想通貨)取引所を取り締まった。

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

「ランサムウェア犯は企業の非公開情報を脅迫に利用している」とFBIは警告

FBI(連邦捜査局)は、複数のランサムウェアグループが、被害者に身代金の支払いを強要する手段として、合併、買収などの「重大かつ一刻を争う財政的事象」に関わっている企業を標的にしていると警告した。

今週FBIは、民間企業向け勧告の中で「サイバー犯罪者はしばしば、

重大な財務事象に関わっている標的企業の非公開情報を見つけ出し、身代金要求に従わなければ情報を暴露すると脅す手口をとっています」と伝えた。

「初期の予備調査段階で、サイバー犯罪者は非公開情報の存在を特定し、それを公表するという脅迫に使ったり、被害者に身代金を支払わせるよう誘導するゆすりの材料にしようとしています。記者発表、合併、買収など被害者の株価に影響する差し迫った事象は、ランサムウェア犯がネットワークを標的にしたり脅迫のスケジュールを決めるきっかけになります」とFBIはいう。

「被害者がすぐに身代金を払わなければ、ランサムウェア犯はこの情報を公表すると脅し、従わなければ投資家の反感を買うことになります」。

FBIは、企業に支払いを強要するために、ランサムウェアグループが交渉進行中の合併や買収の情報を利用している事例をいくつか特定したと語った。

2020年、ランサムウェアグループ、REvilの長年のメンバーが、被害者に身代金支払いを強要するために、NASDAQ証券取引所を利用することを推奨した。数週間後、別のランサムウェアグループは、交渉の際に被害者の上場株式に言及した。同じ年、別のランサムウェア攻撃を解析した結果、ハッカーが被害者のネットワークで規制当局への財務提出資料や今後のプレスリリースに関連する非公開情報を探すために使ったキーワードをいくつか特定した、とFBIは語った。

2021年4月、ランサムウェアのDarkSide(ダークサイド、その後BlackMatter[ブラックマター]に改名が、証券トレーダーと協力して支払わなかった被害者を罰しようとしていることを公表した。現在は閉鎖されているブログに投稿したメッセージで、犯人はトレーダーらに対し、被害企業の内部情報を提供するので、データがリークしてニュースが公表される前に株式を空売りできる、と言って連絡をよこすよう促した。

「私たちのチームとパートナーは、NASDAQなどの証券取引所で取引している多くの企業のファイルを暗号化しています」とロシアのハッキンググループの投稿に書かれている。「もし企業が支払いを拒めば、我々は公開前に情報を提供するので、あなたは安く株を手に入れることができます」。

FBIは以前から、サイバー犯罪者の身代金要求に屈しないよう企業に要請してきた。ハッカーを「つけあがらせ」、新たな企業を標的にして別の犯罪行為の資金源にすることになるからだ。しかし同局は「企業が機能不全に直面した時、上層部は株主、社員、顧客を守るためにあらゆる選択肢を検討することを理解している」ことを付け加えた。

今回の警告に先立ち、わずか数週間前にFBIは(CISA[サイバーセキュリティ・インフラストラクチャセキュリティ庁]、NSA[国家安全保障局]とともに)上述したランサムウェアグループ、BlackMatterが米国の食品農業分野に関わる2つの組織を含む、重要インフラストラクチャーとされる「複数の」組織を標的にしていたことを発表している。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Nob Takahashi / facebook

ユーロポールが2019年のランサムウェア攻撃を実行したサイバー犯罪者たちを拘束

Europol(ユーロポール、欧州刑事警察機構)とそのパートナーである各国の法執行機関は、2019年以降、71カ国で1800以上の被害を出した一連のランサムウェア攻撃の背後にある組織的なサイバー犯罪者のネットワークを壊滅させた。

ユーロポールは2年間の調査を経て、12人の個人を「ターゲットとした」家宅捜索を、先週ウクライナとスイスで行ったと、10月29日に発表した。同機関は、これらの個人が逮捕または起訴されたかどうかについては言及しておらず、我々の詳細な情報提供の要請にもまだ応じていない。

名前が明かされていないこれらの個人は「大企業を特に標的にして、そのビジネスを事実上停止させることで知られている」と、ユーロポールは述べている。この組織が使用したランサムウェアの1つは「LockerGoga(ロッカーゴーガ)」で、2019年3月にノルウェーのアルミニウム生産企業であるNorsk Hydro(ノルスク・ハイドロ)への攻撃で使用されたものと同じ種類だ。このサイバー攻撃により、2大陸にまたがる同社の工場は約1週間の生産停止を余儀なくされ、5000万ドル(約57億円)以上の損害を被った。

ノルウェーの国家犯罪捜査機関Kripos(クリポ)は別のプレスリリースで、今回の捜査対象となった個人がNorsk Hydroへの攻撃に責任があることを確認したと述べている。

ユーロポールによると、このサイバー犯罪者たちは、ランサムウェア「MegaCortex(メガコーテックス)」や「Dharma(ダルマ)」の他「TrickBot(トリックボット)」などのマルウェアや「Cobalt Strike(コバルトストライク)」や「PowerShell Empire(パワーシェルエンパイア)」などの侵入後ツールを使って、検知されないようにさらなるアクセスを得ようとしていたという。「犯罪者たちは、侵入したシステムに気づかれないよう潜伏し、時には数カ月間かけてITネットワークのさらなる弱点を探り、それからランサムウェアを展開して感染を収益化する」と、ユーロポールは述べている。

ユーロポールは、今回の捜索で5万2000ドル(約600万円)の現金と5台の高級車を押収したと述べているが、この犯罪組織が犯行によってどのくらいの金額を得たのかは不明だ。

「これらの容疑者のほとんどは、異なる管轄区域で注目を集めている複数の事件で捜査されているため、価値の高いターゲットと考えられている」と、ユーロポールは述べている。「ターゲットとなった容疑者たちは、これらの専門的で高度に組織化された犯罪組織で、それぞれ異なる役割を担っていた」とのことだ。

ユーロポールは、支払われた身代金をロンダリング(資金洗浄)していた疑いのある人物が多数いると付け加えた。「彼らは、Bitcoin(ビットコイン)で支払われた身代金をミキシングサービスを通じて洗浄し、それから不正に得た利益を現金化していた」と、ユーロポールは述べている。

ユーロポールによると、今回の作戦にはノルウェー、フランス、英国、スイス、ドイツ、ウクライナ、オランダ、米国の法執行機関が参加し、10月26日には50人以上の外国人捜査官が、サイバー犯罪者を目標としてウクライナに派遣されていた。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

露ハッキンググループFIN7はサイバー攻撃のために偽の会社を設立し勧誘していた

金銭奪取目的のロシアのハッキンググループ「FIN7」は、ランサムウェアの活動を拡大すべく、IT専門家を誘い出すための偽の会社を設立していることがセキュリティ研究者によって明らかになった。

Recorded Future(レコーディッド・ヒューチャー)のGemini Advisory部門の研究者によると、FIN7はPOS(販売時点情報管理)レジをハッキングして数百万枚のクレジットカードから10億ドル(約1136億円)超を盗んだことで知られているが、現在は公共部門に特化したサイバーセキュリティ・サービスを提供するとうたっているBastion Secureを装って活動している。

Bastion Secureのウェブサイトは、本物のように見える。しかし調査の結果、FIN7は既存の合法的なサイバーセキュリティ企業が公開している本物の情報(電話番号、オフィス所在地、本物のウェブサイトにある文言)を利用して、正当であるように見せかけていることがわかった。Bastionのウェブサイトでは、2016年にSC Magazineの「Best Managed Security Service」賞を受賞したとうたい、またこの偽会社のコンサルタント部門は2016年にSix Degreesに買収されたと主張している。しかし、どちらも事実ではない。

Recorded Futureが偽会社のウェブサイトを分析したところ、正規のサイバーセキュリティ企業であるConvergent Network Solutions(コンバーバージェント・ネットワーク・ソリューションズ)のウェブサイトから大部分がコピーされていることがわかった。研究者によると、このサイトはサイバー犯罪者がよく利用するロシアのドメインレジストラ「Beget」でホストされており、偽会社のウェブサイトのサブメニューの一部はロシア語で「page not found(ページが見つかりません)」エラーを返す。これはサイト制作者がロシア語を話す人物であることを示している可能性があるという。

本稿執筆時点では、Chrome、Safariともにこの「偽装」サイトへのアクセスをブロックしている。

サイトと同様に、Bastion Secureの求人広告も十分に合法的なものにみえる。この架空の会社は、プログラマー、システム管理者、リバースエンジニアを募集しており、仕事内容も他のサイバーセキュリティ企業で見られるものと変わらない。

しかし、Recorded Futureによると、FIN7はBastion Secureを装って、さまざまなサイバー犯罪行為を行うために必要な作業を行うことができる「スタッフ」の育成を目指しているという。

「FIN7がランサムウェアへの関心を高めていることを考えると、Bastion Secureはおそらく特にシステム管理者を探しているのでしょう。というのも、このスキルセットを持つ個人ならランサムウェア攻撃をすることが可能だからです」と研究者は指摘した。

面接のプロセスも、研究者たちにとっては警鐘を鳴らすものだった。第1段階と第2段階では、Bastion Secureがサイバー犯罪活動を隠していることを示すものはなかったが、第3段階では従業員候補者に「実際の」課題を課していて、それによって隠していたものが露になった。

「この会社が犯罪行為に関与していることはすぐに明らかになりました」と研究者は述べた。「Bastion Secureの担当者がファイルシステムとバックアップに特に関心を持っていたという事実は、FIN7が(POS)感染よりもランサムウェア攻撃を行うことに関心を持っていたことを示しています」。

Bastion SecureのITリサーチャーとしての職を得たRecorded Futureの研究者の1人が、Bastion Secureから提供されたツールを分析したところ、そのツールがポストエクスプロイト(侵入後の活動の)ツールキット「Carbanak」と「Tirion(Lizar)」のコンポーネントであることが判明した。この2つのツールキットは、以前からFIN7のものとされており、POSシステムのハッキングとランサムウェアの展開の両方に使用することができる。

「FIN7が偽のサイバーセキュリティ企業を使って、犯罪行為のためにITスペシャリストを募集することにしたのは、比較的安価で熟練した労働力が欲しいためです」とRecorded Futureはいう。「Bastion SecureのITスペシャリスト職の求人情報の給与は月額800〜1200ドル(約9万〜13万6000円)で、これはソビエト後の国家においてはこの種の職種の初任給としてあり得る金額です。事実、FIN7の偽装会社スキームによって、FIN7の運営者はグループが犯罪活動を遂行するために必要な人材を入手することができ、と同時により大きな利益を保持することができます」。

FIN7が合法的な企業を装ったのは今回が初めてではなく、以前は「Combi Security」を装っていたが、望んでいなかった世間からの注目を受けて偽装会社の閉鎖せざるを得なくなった。

ランサムウェア専門家でEmsisoftの脅威アナリストであるBrett Callow(ブレット・カロウ)氏は、FIN7がBastion Secureを装ったのは、法執行機関からの不要な注目を避けるための試みでもあるとTechCrunchに語った。

「サイバー犯罪組織が偽の会社を使って人材を確保しようとすることは、まったく驚くことではありません。ダークウェブからの採用は問題が多く、リスクも高いものです」と話す。「ランサムウェアのギャングは、特定のサイバー犯罪フォーラムではかつてほど歓迎されておらず、応募者は潜入捜査を行っている法執行官である可能性もあります。通常の求人広告を使えば、この2つの問題を解決することができますが、一方で偽の会社がマネーロンダリングなど別の目的を持っている可能性もあります」。

「また、従業員は自分の仕事の性質について間違った方向に導かれる可能性があります。例えば、彼らは企業が自分のペネトレーションテストの本来あるべきではない受け手であることに気づかないかもしれません」とカロウ氏は述べた。

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

米オリンパスへのサイバー攻撃は米制裁対象のロシア製ランサムウェアグループと関連か

日本の大手企業Olympus(オリンパス)に対する「進行中」のサイバー攻撃は、米国政府による制裁対象となったロシアのランサムウェアグループによって引き起こされたと、この事件を知る2人の人物が語った。

10月10日に始まったこの攻撃では、「Macaw」と呼ばれる新しいマルウェアの亜種が使用され、米国、カナダ、ラテンアメリカにあるオリンパスのシステムが暗号化されている。Macawは、マルウェア「WastedLocker」の亜種で、いずれも2019年に米財務省の制裁を受けたロシアを拠点とする犯罪グループ「Evil Corp」が作成したものだ。

関連記事
オリンパスが米国での新たなサイバー攻撃を認める、ランサムウェア「BlackMatter」がEMEA地域のシステムを攻撃した数週間後に
Garminがサービスダウンはランサムウェアによるものと認める(一部機能は未復旧)

オリンパスにとってこの数カ月で2度目のランサムウェア攻撃となった。9月にも、ランサムウェアグループ「BlackMatter」によって欧州、中東、アフリカのネットワークがオフラインになっていた(BlackMatterとEvil Corp.の関連性は不明)。

「オリンパスは先月BlackMatterの攻撃を受け、1週間ほど前にもMacawの攻撃を受けました」とセキュリティ会社Recorded Futureのシニア脅威アナリストであるAllan Liska(アラン・リスカ)氏はTechCrunchに話した。リスカ氏によると、Macawは、ハッキングされたコンピューターに、被害者からデータを盗んだと表明する身代金請求書を残すという。

オリンパスは10月19日の声明で「データ流出の可能性」を調査しているとした。これは「二重恐喝」と呼ばれるランサムウェア・グループの一般的な手法で、ハッカーは被害者のネットワークを暗号化する前にファイルを盗み、ファイルを復号するために身代金を支払わなければ、ファイルをオンラインで公開すると脅す。

オリンパスの広報担当者Jennifer Bannan(ジェニファー・バナン)氏は、TechCrunchが10月20日に問い合わせた際、質問には答えず、同社が身代金を支払ったかどうかについても言及しなかった。

同社は「当社のシステム、顧客、その患者の安全のため、犯罪者とその行動についてはコメントしません。当社は、影響を受ける関係者に適切な通知を行うことを約束します」との声明を発表した。

財務省の制裁措置により、米国を拠点とする企業はファイルを取り戻すために身代金を支払うことが難しくなっている。これは、米国人が制裁対象の企業と取引することは「一般的に禁止」されているためだ。Evil Corpは、米国の制裁措置を回避するために、これまでに何度もマルウェアの名前を変えたり、修正したりしてきた。

ブルームバーグが10月20日に報じたところによると、先週、80以上の市場で185のテレビ局を所有または運営しているSinclair Broadcast Group(シンクレア・ブロードキャスト・グループ)に対してもMacawが使われ、広い範囲で混乱を引き起こした。Sinclairは10月18日の声明で、同社のネットワークからデータが盗まれたものの、どのような情報が盗まれたのか正確にはわからないと述べた。

Evil Corpは、2020年にランサムウェア攻撃を受けて約1週間サービスを停止したGarmin(ガーミン)や、保険大手のCNAにも攻撃を仕掛けた。

関連記事:ランサムウェア攻撃によってGarminのサービスが世界的に停止

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker, Carly Page、翻訳:Nariko Mizoguchi

ランサムウェアBlackMatterのグループが米国食品業界を標的にしているとNSA、FBI、CISAが注意喚起

CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)、FBI(米連邦捜査局)、NSA(米国家安全保障局)は共同で勧告を発表し、ランサムウェア「BlackMatter」のグループが米国の食品・農業分野の2つの組織を含む、重要インフラとみなされる「複数」の組織を標的にしていると警告した。

当局は被害者の名前を明らかにしなかったが、アイオワ州に本拠地を置く農業サービスプロバイダーのIowa New Cooperativeは9月にランサムウェア攻撃を受け、ハッカーからシステム解除と引き換えに590万ドル(約6億7600万円)を要求された。この攻撃に続いて、ミネソタ州に本社を置く農場供給・穀物販売協同組合であるCrystal Valleyにも同様に攻撃を受けた。

今回の勧告では、BlackMatterの脅威の概要、その戦術(バックアップデータの保存先やアプライアンスの暗号化ではなくワイピングなど)、検知シグネチャ、緩和策のベストプラクティスなどが紹介されている。また、BlackMatterは、Colonial Pipeline(コロニアル・パイプライン)への攻撃の背後にあったとFBIが発表した、今はなきランサムウェア「DarkSide」が「再ブランド化した可能性」があるとの見方も広がっている。

BlackMatterは、ランサムウェア・アズ・ア・サービス(RaaS)を提供している。他のグループがそのインフラを借りることができ、被害者が身代金を支払えば、そこから上前をはねる。勧告では、BlackMatterの身代金要求額は、暗号資産(暗号資産)で8万〜1500万ドル(約916万〜17億円)だと指摘している。

当局はまた、特に重要インフラに属する組織に対し、サイバーセキュリティの防御を強化し、強力なパスワードや多要素認証の使用など、セキュリティのベストプラクティスに従うよう促している。加えて、すべてのOSを最新の状態に保ち、ホストベースのファイアウォールを使用し、すべてのバックアップデータを確実に暗号化することを推奨している。

ランサムウェアの攻撃を受けた組織は直ちに報告し、ハッカーからの身代金の要求を拒否することも勧告している。

「身代金を支払うことで、敵対者がさらに別の組織を標的としたり、他の犯罪者がランサムウェアの配布に関与するようになったり、あるいは違法活動の資金源となったりする可能性があります」と3機関は警告している。「身代金を支払っても、被害者のファイルが復元される保証はありません」。

BlackMatterは、日本のテクノロジー大企業のOlympus(オリンパス)も攻撃しており、同社のヨーロッパ、中東、アフリカのネットワークが停止する事態となった。

画像クレジット:Joe Raedle / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

ランサムウェア犯罪組織「REvil」、そのデータリークブログが乗っ取られて再び姿を消す

Kaseya(カセヤ)やTravelex(トラベックス)、JBSなどへのサイバー攻撃で悪名高いロシア関連のランサムウェア犯罪組織「REvil(レヴィル)」は、Tor(トーア)で公開していた支払いポータルとデータリークブログが乗っ取られたとした後、再び姿を消した。

REvilは2021年7月、Kaseyaを標的にした攻撃により数千の企業をランサムウェアに感染させた後、米国政府から激しく非難され、しばらく沈黙していたが、9月に突然復活。しかし、それからわずか数週間で再びサイトを閉鎖した。この閉鎖のニュースは最初、REvilに所属していることが知られている脅威アクターが、ある有名な犯罪フォーラムに投稿したもので、サイバーセキュリティ企業Recorded Future(レコーデッド・フューチャー)のDmitry Smilyanets(ミトリー・スミリヤネッツ)氏によって発見された。

この脅威アクターによる投稿では、REvilのTorサービスが乗っ取られ、おそらく以前バックアップされたと思われるグループの秘密鍵のコピーに置き換えられたと述べている。「サーバーが危険にさらされ、彼らは私を探していた」と、投稿には書かれている。「正確にいうと、彼らはtorrcファイル(Torサービスの設定に使われる)の中にあった私の隠れたサービスへのパスを削除し、自分たち自身のサービスを立ち上げ、私がそこへ行くように仕向けている。他の人にも確認したが、そうなってはいなかった。みんなの幸運を祈る。私は行くよ」。

REvilのTorサイトが乗っ取られたと思われる状況(記事掲載時)。( 画像クレジット:TechCrunch)

本稿執筆時点では、誰がREvilのサーバーを乗っ取ったのかは明らかになっていない。9月のWashington Post(ワシントン・ポスト)の報道によると、7月にKaseyaの攻撃で被害を受けた企業のために、FBIはREvilの暗号鍵を入手していたが、REvilが姿を消してしまったため、FBIが計画していたテイクダウンは実現しなかったという。また、長らくグループのスポークスマンを務めていた「Unkn(アンノウン)」と呼ばれる元グループメンバーが乗っ取った可能性を指摘する声もある。Unknは、9月にグループが再び姿を現した際にも戻ってこなかった。

「彼がいなくなった理由が確認できなかったため、我々は彼が死んだと思って仕事を再開した」と、この脅威アクターはフォーラムの投稿で説明している。「しかし、モスクワ時間の10月17日12時から誰かが我々と同じ鍵でランディングとボグの隠しサービスを持ち出したので、私の不安は尽きなかった」。

マルウェアのソースコードやサンプル、論文などを掲載しているウェブサイト「VX-Underground(VXアンダーグラウンド)」は、REvilのドメインキーを持っているのはUnknとフォーラムに投稿している脅威アクターだけであり、このランサムウェアグループのドメインは最近、Unknのキーを使ってアクセスされたと、ツイートしている。

McAfee(マカフィー)によると2021年の第2四半期に検出されたランサムウェアの大半に関連していたというREvilが、完全に消滅したかどうかはまだわからない。しかし、9月に突然復活して以来、このグループはユーザーの獲得に苦労しており、新たな脅威アクターを誘うために参加報酬の引き上げを求められている。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

【コラム】Twitchのハッキング、「強奪」は新しいランサムウェアのかたちなのか

先に発生したTwitchの大規模なハッキングは、セキュリティ業界を騒然とさせた注目される侵害事件の最新例だ。誰もが「なぜこんなことが起きたのか」と疑問に思っている。大量の重要なデータ、しかもソースコードまでもが、アラームを出されることなくどうやって盗めるのか。セキュリティが充実しているはずのAmazonの企業が、4chanで噂が広まるまで被害に気づかないなんて、どういうことなのだろうか。

Threat Postによると、セキュリティ担当者たちは、ハッカーたちの「第2弾」となる暴露の内容を理解するために、不安な気持ちで待っているが、おそらくパスワードやユーザーのEメールが次にくるのではないかということが明らかになってきている。

Twitchにとって、PRの悪夢は始まったばかりだ。今や数百万のプレーンテキストによるユーザーの個人情報が、ハッキングで公開されたデータの山を利用しようと待ち構えているセキュリティの常習犯たちに広まっていくだろう。

まず、Twitchのユーザーは、すぐにパスワードを変更し、まだ変更していない場合はアカウントの多要素認証を有効にすべきだ。Twitchは、「慎重を期して」すべてのストリームキーをリセットし、危機的状況下でもプラットフォームをオンラインに保つことができた。そのこと自体が、このような大規模な事件の中では印象的であり、特筆すべきことだ。

変化を続ける犯行手口

クリエイターへの多額の支払いからAmazonのCEOであるJeff Bezos(ジェフ・ベゾス)氏への荒らしなど注目すべき部分もあるが、今回の攻撃の性質や、身代金を要求するのではなく強奪にシフトしたことには深刻で重要な意味がある。

自分のデータのコントロールを失った被害者企業にできることは、高額を払って解読鍵を手に入れるか、バックアップからデータを再構築するかという二択ではない。犯人の目的が単純な身代金の支払いではなく脅迫が目的となった場合、企業の危機対応も飛躍的に複雑になる。

Twitchは、この新しくて厄介な戦術の最後の被害者ではない。その勢いは増しているように見える。

先手必勝

仮に、Twitchのセキュリティ対策が今日の標準から見て成熟度が高いものだったとしても、同社も含め現在の企業は、セキュリティの運用とインシデント対策の計画化に十分な投資をしていない。そこで往々にして、対策が遅すぎたことに事後、後悔するという事態になる。

自覚すべきは、企業があらゆることを正しくやっていたとしても、100%完璧なセキュリティ対策はなく、犯人たちは、たった1つの脆弱性を見つけるだけで十分という事実だ。必要なのは、十分にテストされ、十分に文書化された計画があることと、万一のときの対応が確立していることだ。

セキュリティ事故の際、最高位の意思決定者は誰なのか?シャットダウンをするためには何をいつやるべきか?誰に何をどんな順序で命じるべきか?まだ事故も犯行もなく余裕が十分あるときに、これらを決めておくべきだ。事が起きてからでは何もできないからだ。そして実際に何かが起きたときには、対策が十分にテスト済みでなければならない。

Twitchの被害の全貌はまだ明らかでないが、そこから私たちが学ぶべきことは大きい。成熟した、リソース(物、金、人)に恵まれたシステムでも侵入されるし、最近の犯人たちはランサムウェアに固執することなく大混乱を惹き起こし、データをコントロールしようとする。

企業に必要なのは、計画を立て、正規に文書化し、そのプロセスを公式の内規として規則化して、被害を検出し最小化するために必要十分な保護対策が常時行われている状態を維持することである。元々アンフェアなゲームであり、しかもますます複雑化していることを自覚しよう。

編集部注:本稿の執筆者Ian McShane(イアン・マクシェーン)氏は、Arctic WolfのフィールドCTO。

関連記事:クリエイターの報酬データが大量流出、Twitchのストリーマーの反応は

画像クレジット:Anadolu Agency/Getty Images

原文へ

(文:Ian McShane、翻訳:Hiroshi Iwatani)

オリンパスが米国での新たなサイバー攻撃を認める、ランサムウェア「BlackMatter」がEMEA地域のシステムを攻撃した数週間後に

日本の大手テクノロジー企業Olympus(オリンパス)は、先の週末にサイバー攻撃を受け、米国、カナダ、ラテンアメリカのITシステムを停止せざるを得なくなったことを認めた。

オリンパスはウェブサイト上の声明で「10月10日に検知されたサイバーセキュリティ事件の可能性を調査中」であり「現在、この問題を解決するために最優先で取り組んでいます」と述べている。

関連記事:オリンパスがランサムウェア「BlackMatter」の攻撃を受ける

「調査と封じ込めの一環として、影響を受けたシステムを停止し、関連する外部パートナーに報告しています。現在の調査結果によると、この問題はアメリカ大陸に限定されており、他の地域への影響は確認されていません」。

「当社は、この状況について適切な第三者と協力しており、今後もお客様やビジネスパートナーに安全にサービスを提供するために必要なあらゆる手段を講じていきます。お客様やビジネスパートナーを保護し、当社への信頼を維持することは当社の最優先事項です。当社の調査は継続中であり、透明性の高い情報開示に努め、新たな情報が得られた場合には最新情報を提供していきます」。

これは、2021年9月にオリンパスが欧州・中東・アフリカのネットワークへのサイバー攻撃を受けて発表した声明とほぼ同じ内容だ。

攻撃を受けた当時、オリンパスは「サイバーセキュリティ事件の可能性を調査中」とも述べている。この事件を知る人物がTechCrunchに語ったところによると、オリンパスはランサムウェアの攻撃から回復していたという。感染したシステムに残された身代金のメモは、ランサムウェア・アズ・ア・サービス(ransomware-as-a-service)グループ「BlackMatter」にも関連していた。

Emsisoftのランサムウェア専門家で脅威アナリストであるBrett Callow(ブレットキャロウ)氏は、今回の事件が週末に発生したことを受けてギャングがランサムウェアを展開するのは休日を含むことが多いため、繰り返し攻撃を受ける可能性が高まるという。「ランサムウェアだとしても、それがまたBlackMatterであるかどうかはわかりません。また、もしランサムウェアだとしたら、それがBlackMatterであるかどうかはわかりませんが、その可能性もありますし、EMEA地域への攻撃を行った組織が、今回は別のランサムウェアを使用した可能性もあります」。

オリンパスの広報担当者であるSusan Scerbo(スーザン・セルボ)氏からは、コメントを得られていない。オリンパスのセキュリティ事件についての詳細がわかり次第、更新する。

画像クレジット:Filip Radwanski / SOPA Images / LightRocket / Getty Images

原文へ

(文:Carly Page、翻訳:Katsuyuki Yasui)

ランサムウェアの身代金支払いに関する情報開示を企業に義務付ける米国の新法案

米国で新たに提出された法律案は、ランサムウェアによる身代金の支払いを行った場合、取引から48時間以内に開示することを同国の企業に義務付けるものだ。

Elizabeth Warren(エリザベス・ウォーレン)上院議員とDeborah Ross(デボラ・ロス)下院議員が起草したこの「Ransom Disclosure Act(身代金開示法)」は、(個人ではなく)企業や組織を対象とするもので、要求された暗号資産の金額や種類、支払った金額など、ランサムウェアの支払いに関するデータを米国土安全保障省に提供することを義務付ける。

この法案は、サイバー犯罪者の活動に対する米国政府の理解を深め、ランサムウェアによる脅威の全体像を把握するために役立てることを目的としている。身代金の支払いは一般的にbitcoin(ビットコイン)で行われるが、セキュリティ専門家によると、脅威アクター(犯行者)はMonero(モネロ)などの「プライバシーコイン(匿名通貨)」を利用する傾向にあり、捜査当局が資金の流れを追跡することを困難にしている。

また、この身代金開示法では、国土安全保障省にも、組織や企業が身代金の支払いを自主的に報告するためのウェブサイト設置を求めるとともに、支払いを行った組織の識別情報を除き、前年中に開示された情報を共有することを要求する。セキュリティ研究者による同様の取り組みはすでに行われている

関連記事
ランサムウェアの問題を可視化するクラウドソースの身代金支払い追跡サイト「Ransomwhere」
ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

ウォーレン上院議員は、ランサムウェアによる攻撃が「急増」していることから、こうした対策が必要だと述べている。2020年、北米でのサイバー攻撃は158%増加しており、世界中の被害者が支払った身代金は3億5000万ドル(約390億円)近くにのぼり、2019年に比べて300%以上増加していることがデータによって示されている。

さらに、最近の調査によれば、身代金の支払い自体はランサムウェア攻撃によって受けた被害の総額のうちわずか20%に過ぎず、企業は生産性の低下や攻撃後の復旧作業によって、はるかに大きな損失を被っていることがわかった。

「サイバー犯罪者を追及するための重要なデータが不足しているのです」と、ウォーレン氏はいう。「私がロス議員と共同で提出した法案は、身代金が支払われる際の情報開示義務を定めるもので、これによってサイバー犯罪者がアメリカの団体からどれだけの資金を吸い上げて犯罪に利用しているかを知ることができ、犯罪者を追跡するために役立ちます」。

米国がランサムウェアを取り締まるために採用する戦術はこれだけではない。

例えば、財務省は2021年9月、暗号資産取引所のSuex(スエックス)に対し、その取引総額の40%以上が悪質な行為に関連していたことが判明したため、身代金の支払いを助長する役割を果たしたとして、初の制裁を科すと発表した。さらに財務省は先日、米国の制裁対象国に拠点を置く脅威アクターへの支払いは禁止されていると、米国企業に警告を出した。

関連記事:米財務省の新たな制裁措置はランサムウェアグループによる現金化の阻止が目的

画像クレジット:Donat Sorokin / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

ランサムウェアについて:市場の問題には市場の解決策が必要

REvilは、悪役の名前としては堅実な選択だ。R Evil(Evilは「邪悪」の意)またはRevil(同音でRevelは「享楽」の意)。邪悪でありながら愉快。筆者には、Black Widow(ブラック・ウィドウ)、Hulk(ハルク)、Spider-Man(スパイダーマン)が「REvil株式会社」のリーダーを打ち負かすため、チームを組む姿が想像できる。

この夏、世界中の何千もの中小企業に対するランサムウェア攻撃を実行したのは、REvilを名乗る犯罪組織だったのかもしれない。しかし、ランサムウェアの問題は、REvilやLockBitDarkSideよりも大きい。REvilはインターネット上から姿を消したが、ランサムウェアの問題は続く。

REvilは症状であって、原因ではない。筆者なら、Tony Stark(トニー・スターク、漫画「アイアンマン」の登場人物)やAvengers(アベンジャーズ)の仲間たちに対し、どれか1つの犯罪組織に注目しないよう助言する。悪の黒幕といったものは存在しないからだ。ランサムウェアは、一攫千金を狙う小悪党たちが織りなす5万年の歴史の中の、最新の一例にすぎない。

ランサムウェアの発生件数が大幅に増加しているのは、集中管理というものがないからだ。昨年、世界の企業を襲ったランサムウェアの被害は3億400万件を超え、1件あたりの被害額は17万8000ドル(約2000万円)を超えている。テクノロジーの発達により、数え切れないほどの軽犯罪者が大金を素早く稼げる市場が生まれた。このような脅威に対抗するには、市場原理に基づいたアプローチが最適だ。

世界的にランサムウェアの攻撃が急増しているのは、あらゆる犯罪活動が「大衆化」しているためだ。不正に金を稼ごうとする人には、2年前と比べて多くの選択肢がある。技術的な知識がなくても、データを盗み、身代金を要求し、「データを取り戻したいなら金を払え」と脅すことができる。警察組織は、こうした形態のサイバー犯罪と戦うべく行動を起こしていない。同様に、大規模で洗練された犯罪ネットワークも、進出してくる新参者をコントロールする方法をまだ理解していない。

ランサムウェア攻撃が急増している背景には、「as a service」経済がある。ここでは、RaaS、つまりサービスとしてのランサムウェアを指している。それが機能しているのは、ランサムウェアの連鎖における各タスクが高度に洗練されたことによる恩恵を受けているからだ。分業化と専門化がそれを可能にした。

誰かが脆弱な標的を見つける。別の誰かが警察組織の管轄権の外で防弾インフラを提供する。また誰かが悪意のあるコードを提供する。プレイヤーは全員、お互いの名前を知らずに集まる。ピンク氏、ブロンド氏、オレンジ氏といった生身の人間と直接会う必要がないのは、タスクの調整が簡単に行えるからだ。技術革新の速さが分散型市場を生み出し、素人が高額な犯罪に手を染められるようになった。

裏社会にもギグ・エコノミーが存在するのは、合法的なビジネスの世界と同じだ。筆者は経済学者でありながら、2つのソフトウェア会社を成功させた。オープンソースのソフトウェアを使い、クラウド技術でインフラを借りる。筆者は最初のソフトウェア会社を6年間経営し、その後、外部に資本を求めた。その資金は技術よりもマーケティングや営業に使った。

こうした技術の進歩は、良い面と悪い面がある。世界的なパンデミックの際に世界経済が予想以上に好調だったのは、テクノロジーのおかげで多くの人がどこからでも仕事ができるようになったからだ。

だが、犯罪の非合法市場にもメリットがあった。REvilはサービス(より大きなネットワークの一部)を提供し、他人が行ったランサムウェア攻撃から収益の一部を得ていた。Jeff Bezos(ジェフ・ベゾス)氏やAmazon(アマゾン)が筆者に提供するサービスの対価として、筆者の会社の収益の一部を得るのと同じだ。

ランサムウェア攻撃に対抗するには、経済学、つまりランサムウェアを可能にする市場を理解し、市場の力学を変える必要がある。具体的には、次の3つを行う。

1. 企業の経営者のように市場を分析する

競争力のある企業は、何が競合他社の成功を可能にしているのか、どうすれば競合他社を打ち負かすことができるのかを考えている。ランサムウェアの背後には、起業家やサイバー犯罪に従事する企業の従業員が存在する。したがって、データに基づく優れたビジネス分析と、ビジネスに関する賢い質問から始めよう。

犯罪を可能にする暗号技術は、エンティティ解決を可能にしたり、匿名性または仮名性を否定したりするためにも利用できるか。テクノロジーは、犯罪者の採用活動や協力し合う能力や、犯罪活動から得た収益を移動、保管、使用する能力を弱めることができるか。

2. 市場における勝利の定義

分析により競合企業を理解することで、ランサムウェアの市場をより明確に把握することができる。1つの「企業」を排除すると、多くの場合、力の空白が生じるが、市場が同じであれば別の企業がそれを埋めることになる。

REvilが消滅しても、ランサムウェアの攻撃は続く。市場における勝利とは、犯罪者がそもそも活動をしないことを選択するような市場を作り出すことだ。目的は犯罪者を捕まえることではなく、犯罪を抑止すること。ランサムウェアに対する勝利は、攻撃の試みがゼロに近い状態になり、逮捕者が減少したときに初めて得られる。

3. 競争の激しい市場で起業家としてRaaSと戦う

ランサムウェアを抑えることは、犯罪者である起業家と戦うことであり、そのためには起業家のように考え、犯罪と戦うことが必要だ。

犯罪と戦う起業家には協力が必要で、世界中の政府関係者、銀行関係者、民間企業の技術者などのネットワークを結集しなければならない。

人工知能や機械学習により、プライバシーを守りながらデータ、情報、知識を安全に共有する機能が存在する。犯罪の道具が、犯罪に対抗するための道具にもなる。

邪悪な黒幕が隠れ家で、経済に与えた混乱を笑っているわけではない。むしろ、手っ取り早く金儲けをする方法を見つけるアマチュアが増えている。ランサムウェア業界に取り組むには、アマチュアが最初にサイバー犯罪に参入できたのと同じように、協調しながら市場に焦点を当てる必要がある。アイアンマンもきっとそう思うはずだ。

編集部注:筆者Gary M. Shiffman(ゲイリー・M・シフマン)博士は、「The Economics of Violence: How Behavioral Science Can Transform our View of Crime, Insurgency, and Terrorism(邦訳未刊)」の著者。ジョージタウン大学で経済科学と国家安全保障について教えており、Giant Oakの創業者でCEO。

カテゴリー:
タグ:

画像クレジットtommy / Getty Images

[原文へ]

(文:Gary Shiffman、翻訳:Nariko Mizoguchi

オリンパスがランサムウェア「BlackMatter」の攻撃を受ける

Olympus(オリンパス)は米国時間9月12日に短い声明を発表し、「現在、サイバーセキュリティ事象の可能性を調査している」ことを伝えた。同社の欧州、中東およびアフリカのコンピューターネットワークが影響を受けた可能性がある。

「不審な行動を検出した後、当社は科学捜査専門家を含む特殊対応チームを直ちに招集し、現在問題解決を最優先に作業しているところです。調査の一環として、影響を受けたシステム上でのデータ転送を中止し、関係する社外パートナーに通知しました」と声明で語っている

しかし、本件に詳しい人物によると、オリンパスは米国時間9月8日の早朝に始まったランサムウェア攻撃から回復しいるところだという。その人物は12日にオリンパスが事件を認める以前に詳細詳細を提供した。

攻撃を受けたコンピューターに残された身代金要求文は、ランサムウェアグループのBlackMatter(ブラックマター)を名乗っている。「あなたのネットワークは暗号化され、現在操作不能状態です」と書かれていた。「身代金を支払えば、復号するためのプログラムを提供します」。脅迫状には、BlackMatterが被害者との連絡に使用していることが知られているTor Browser(トーア・ブラウザー)経由でのみアクセスできるサイトのウェブアドレスも書かれている。

関連記事:
ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない
「黒人のハーバード」と呼ばれる名門ハワード大学がランサムウェア攻撃を受け授業を中止
ランサムウェアの問題を可視化するクラウドソースの身代金支払い追跡サイト「Ransomwhere」
独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害

ランサムウェアの専門家でEmisisoft(エミシソフト)の脅威アナリストであるBrett Callow(ブレット・キャロー)氏は、脅迫状に書かれたサイトはBlackMatterグループと繋がっているとTechCrunchに伝えた。

BlackMatterは「サービスとしてのランサムウェア」のグループで、いくつかのランサムウェアグループの後継として組織された。DarkSide(ダークサイド)は、よく知られたColonial Pipeline(コロニアル・パイプライン)に対するランサムウェア攻撃後にこの犯罪世界を去り、ロシアのハッカーグループREvil(レビル)は、数百社の企業にランサムウェアをばらまいたKaseya(カセヤ)への攻撃の後、しばらく沈黙を続けている。どちらの攻撃も米国政府の目に留まり、政府は重要インフラストラクチャーが再び攻撃された時には行動を起こすことを約束した。

BlackMatterのようなグループは、攻撃を行う仲間たちに自分たちのインフラストラクチャーを貸与して、手に入れた身代金の一部を受け取る。Emsisoftは、DarksideとBlackMatterの間には技術的なつながりと共通するコードがあることも発見した。

BlackMatterが6月に登場して以来、EmsisoftはBlackMatterの仕業と思われるランサムウエア攻撃を40件以上記録しているが、被害者の総数はそれをはるかに上回っている可能性が高い。

BlackMatterのようなランサムウエア・グループは、まず会社のネットワークからデータを盗み出し、それを暗号化した後、身代金を払わなければファイルをオンラインで公開すると脅すのが典型的なやり方だ。被害者を公開し、盗んだデータを売るためのBlackMatterに関係する別のサイトには、本稿公開時点でまだオリンパスの名前は載っていない。

日本に本社を置くオリンパスは、医療、生命科学産業向けの光学およびデジタル複写製品を製造している。最近まで同社は、デジタルカメラやその他の電子製品を作っていたが、1月に不調のカメラ部門を売却した。

オリンパスは、「現在問題の範囲を特定しているところで、新しい情報が入り次第最新情報を提供します」と語った。

同社の広報担当者、Christian Pott(クリスチャン・ポット)氏は、本誌のコメントを求めるメールとテキストメッセージに返信していない。

画像クレジット:Jerome Favre / Bloomberg / Getty Images

[原文へ]

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

【コラム】すばやく行動し破壊することは、プライバシーとセキュリティを犠牲にする

私は長年、テクノロジーの未来の最前線に立ってきた。

Y Combinatorで採用担当ディレクターを務めていたとき、何百ものスタートアップのピッチを見た。その多くは特定の属性を共有していた。急速に拡大するユーザーの経路をたどり、ユーザーから抽出したデータを収益化するというものだ。

時間が経つにつれて、テクノロジーが作り出しているものの全体像を認識し始めた。すべての動きが追跡され、収益化される「マイノリティレポート」の世界。Facebookのように「Move fast and break things」(すばやく行動し破壊せよ)という信念を掲げる企業もあった。彼らは概念や常識を壊すことにととまらず、最終的には一部の人々の人生を犠牲にするような偽情報やプロパガンダを広め、私たちを失望させた。

それはどのような犠牲を払ってでも成長を遂げる「growth-at-all-cost」というマインドセットに起因するものだ。21世紀のシリコンバレーの消費者向け企業大手の中には、データを利用して、ユーザーのプライバシーやセキュリティをほとんど、あるいはまったく考慮せずに広告を販売することで繁栄した企業もある。私たちは、テクノロジーにおける最も聡明なマインドを持ち合わせている。真に望んだなら、最低限、人々がプライバシーや情報のセキュリティについて心配する必要がないように、状況を変えることができたであろう。

人々が自分のデータをよりコントロールできるような、そしてシリコンバレーがプライバシーとデータセキュリティのイノベーションを探求するようなモデルへと、私たちは移行することができるはずだ。複数の長期的なアプローチと、検討すべき新しいビジネスモデルのポテンシャルがある一方で、短期的にプライバシー重視のマインドセットにアプローチする方法もある。ここで、個人による自身のデータのコントロールが可能な未来に向かって進み始めるための、いくつかの方法に目を向けてみよう。

ワークプレイスは、より安全なアイデンティティテクノロジーの実現を先導すべき場所である

私たちは、テクノロジーが人間、ビジネス、社会に対して安全かつ倫理的に機能する未来を意識的に設計することを通じて、テクノロジーにアプローチする必要がある。

結果を理解せず、あるいは考慮せずにテクノロジーの成長にアプローチすることで、シリコンバレーへの信頼は損なわれてしまった。私たちはもっと適切に対処する必要がある。まずはワークプレイスにおいて、自己主権型アイデンティティを通じて、つまりデジタルアイデンティティのコントロールとオーナーシップを人々に与えるアプローチにより、個人データの保護を強化することから始めるべきだろう。

個人のデジタルアイデンティティのプライバシーとセキュリティを向上させるための出発点をワークプレイスに置くのは、理に適っている。パーソナルコンピューター、インターネット、携帯電話、電子メールなど、これまで広く採用されてきた多くのテクノロジーが、家庭のテクノロジーになる前に使われ始めた場所がワークプレイスであり、その基本原則が継承されている。オフィス生活への復帰の兆しが見えてきた今こそ、ワークプレイスで新しいプラクティスを取り入れる方法を再検討する好機と言えるだろう。

では雇用者はどのようにこれを行うのか。まず、オフィスへの復帰は、非接触型アクセスとデジタルIDの推進力として利用できる。これらは、物理的データおよびデジタルデータの侵害(後者の方が一般的になりつつある)に対する保護手段である。

従業員は、オフィスへの入館時にデジタルIDまたはトークン化されたIDを使用し、これらのIDは携帯電話に安全に格納される。偽造や複製が容易な、個人情報や写真が印刷されたプラスチックカードを使用する必要がなくなり、雇用者と従業員の両方のセキュリティ向上につながる。

非接触型アクセスも最近では大きな飛躍とはいえなくなっている。新型コロナウイルス(COVID-19)のパンデミックにより、デジタル識別に向けた機運が整ったと言えよう。新型コロナの影響で非接触型決済の利用が加速したため、非接触型IDへの移行は多くの人にとってシームレスなものになるだろう。

クリティカルなプライバシー重視のインフラストラクチャに投資する

トークン化された識別は、ユーザーの手に力をもたらす。これはワークプレイスでのアクセスやアイデンティティのためだけでなく、他の多くの、さらに重要な理由からも不可欠なものだ。トークン化されたデジタルIDは暗号化されており、1回しか使用できないため、システムが侵害された場合でも、デジタルIDに含まれるデータを閲覧することはほぼ不可能である。Signalと似ているが、個人のデジタルIDに対応する。

さらに高度なテクノロジーが普及するにつれて、より多くの個人データが生成されるようになることが考えられ、一層多くのデータが脆弱となることが懸念される。私たちが憂慮すべきは、運転免許証、クレジットカード、社会保障番号だけではない。生体認証や医療記録などの個人の健康関連データが、ますますオンライン化され、検証目的でのアクセスの対象となっている。ハッキングやID窃盗が横行している中、暗号化されたデジタルIDの重要性は極めて高い。トークン化されたデジタルIDがなければ、私たちは皆脆弱な状態に置かれてしまう。

私たちは最近、Colonial Pipelineが受けたランサムウェア攻撃で何が起きたかを目の当たりにした。米国のパイプラインシステムの大部分が数週間にわたって機能不全に陥っており、インフラストラクチャのクリティカルな要素が侵害に対して極めて脆弱であることが示された。

究極的には、私たちは人類に役立つテクノロジーを作ることを考える必要があるのであって、その逆ではない。また、私たちが生み出したテクノロジーが、ユーザーだけでなく社会全体にとって有益なものであるかを自問する必要があるだろう。人類により良いサービスを提供するテクノロジーを構築する1つの方法は、ユーザーとその価値を確実に保護することである。さらなるテクノロジーの発展とともに、自己主権型アイデンティティが今後の鍵となるだろう。特に、デジタルウォレットは単なるクレジットカード以上のものになり、安全なデジタルIDの必要性がより重視されるようになると考えられる。最も重要な要素は、個人や企業が自分のデータを管理する必要があるということに他ならない。

近年、プライバシーとセキュリティに対する全般的な意識がより高まっていることを考えると、雇用者側は個人データの脆弱性の脅威を真剣に受け止め、自己主権型アイデンティティの実現に向けて主導的な役割を果たさなければならない。ワークプレイスにおける非接触アクセスとデジタルIDの最初のステップを通して、私たちは、少なくとも私たち自身のデータとアイデンティティという観点から、より安全な未来に向けて少しずつ歩を進めていくことができるであろう。

編集部注:本稿の執筆者Denis Mars(デニス・マーズ)氏は、プライバシーファーストで人間主導のアイデンティティ技術を設計・構築するProxyのCEO兼共同設立者。

関連記事
【コラム】データを重視する企業はAIと同じくらい人にも価値を置くべきである
【コラム】データサイエンティストは恐れずに新しい分野に挑戦せよ
【コラム】アダルト系SNS「OnlyFans」の性的コンテンツ禁止でクリエイターは「権利章典」について語り出す
画像クレジット:John Lund / Getty Images

原文へ

(文:Denis Mars、翻訳:Dragonfly)

「黒人のハーバード」と呼ばれる名門ハワード大学がランサムウェア攻撃を受け授業を中止

教育機関を狙うランサムウェア攻撃が活発化している中、最新の被害者となったワシントンD.C.のハワード大学(Howard University)は、米国時間9月7日の授業を中止すると発表した。ハワード大は、カマラ・ハリス米副大統領の母校として知られる全米屈指の名門黒人大学だ。

今回のインシデントは、学生がキャンパスに戻ってきてから数週間後の米国時間9月3日に、同大学のエンタープライズ・テクノロジー・サービス(ETS)が同大学のネットワーク上で「異常なアクティビティ」を検知し、調査のために意図的にシャットダウンした際に発覚した。

「調査と現在までに得られた情報に基づき、本学がランサムウェアによるサイバー攻撃を受けたことが判明しました」と大学側は声明を発表した。攻撃の背後に誰がいるのか、身代金がいくら要求されたのかなど、詳細は明らかにされていないが、これまでのところ、9500人の学部生・大学院生の個人情報への不正アクセスや流出を示唆する証拠はないとしている。

「しかし、我々の調査は継続しており、何が起こったのか、どのような情報がアクセスされたのか、事実を明らかにするために努力を続けています」と声明は述べている。

ハワード大学は、ITチームがランサムウェア攻撃の影響を十分に評価できるようにするため、9月7日の授業を中止し、不可欠なスタッフ以外キャンパスを立ち入り禁止にしている。また、調査中はキャンパス内のWi-Fiも停止するが、クラウドベースのソフトウェアは引き続き利用可能だという。

「これは非常に変動的な状況であり、すべてのセンシティブな個人データ、研究データ、臨床データを保護することが我々の最優先事項です」と大学側は述べている。「我々は、FBIおよびワシントンD.C.市政府と連絡を取り合い、犯罪による暗号化から大学とみなさんの個人データをさらに保護するために、追加の安全対策を導入しています」とも。

しかし大学側は、その改善策は「一晩で解決できるものではなく、長い道のりになるだろう」と警告している。

ハワード大学は、パンデミックが始まって以来、ランサムウェアの被害に遭った多くの教育機関の中で最新の犠牲者だ。FBIのサイバー部門は最近、この種の攻撃を仕掛けるサイバー犯罪者は、遠隔教育への移行が広まっていることから、学校や大学を重点的に狙っていると警告している。2020年、カリフォルニア州立大学では、医学部のサーバー内のデータを暗号化したNetWalkerハッカーグループに114万ドル(約1億2600万円)を支払い、ユタ大学では、ネットワーク攻撃で盗まれたデータの流出を防ぐため、ハッカーに45万7000ドル(約5000万円)を支払っている。

Emsisoftの脅威アナリストであるBrett Callow(ブレット・キャロウ)氏が先月発表したところによると、ランサムウェア攻撃により、2021年にはこれまでに830の個別の学校を含む58の米国の教育機関や学区が授業の中断を強いられたとのこと。Emsisoftは、2020年には84件のインシデントが1681の個別の学校、短大、大学での学習を中断させたと推定している。

キャロウ氏は7日に「今後数週間で、教育分野のインシデントが大幅に増加すると思われる」とツイートした。

関連記事:ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

画像クレジット:Howard University

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

解散かリブランド?カプコンも襲ったランサムウェア「ラグナロッカー」の攻撃者集団が復号キーを公開

2019年から活動していたランサムウェアギャングで、パッチが適用されていないCitrix ADCサーバーに対し攻撃を仕かけたことで有名になったRagnarok(ラグナロク)が、活動を停止するとともに被害者のために無料で復号キーを公開した。

Asnarok(アスナロク)と呼ばれることもあるこの集団は、先週、ダークウェブポータルにリストアップされていた12の被害者組織をすべて、ファイルを復元する方法についての短い説明に置き換えた。これにともない、Emsisoftの専門家がマスター復号鍵が含まれていることを確認した復号プログラムも公開された。ランサムウェア被害者のデータ復号化を支援するセキュリティ企業として知られるEmsisoftは、Ragnarokランサムウェア用のユニバーサルデクリプターもリリースしている。

Ragnarokは、ランサムウェア「Ragnar Locker(ラグナロッカー)」を使ってITネットワークを狙うことでよく知られている。このランサムウェアは、Citrix ADCの脆弱性を悪用して、(今や悪名高いWannaCry攻撃の背後にあるのと同じ脆弱性である)EternalBlueに脆弱なWindowsコンピュータを検索して数十の犠牲者を出し、Ransomwhe.reの支払いトラッカーによると、450万ドル(約4億9500万円)以上の身代金支払いを受けている。

関連記事:ランサムウェアWannaCryの猛威から2年、まだ100万台以上のコンピュータが危険な状態

2020年4月、このサイバー犯罪者集団はポルトガルの大手エネルギー企業EDPから10テラバイトのデータを盗み、1090万ドル(約12億円)の身代金を支払わなければデータを流出させると脅迫した。さらに同グループは、イタリアの大手酒類メーカーCampari Group(カンパリ・グループ)のサーバーから、銀行取引明細書、従業員記録、著名人との契約書など、最大2テラバイトのデータを盗み出し、1500万ドル(約16億5000万円)の身代金の引き渡しを要求した。

また、2020年11月には「ストリートファイター」「バイオハザード」「デビル メイ クライ」などのタイトルで知られる日本の大手ゲーム会社カプコンも、この短命に終わったランサムウェアギャングの標的となった。この集団は、カプコンのシステムから39万人の顧客、ビジネスパートナー、その他の外部関係者の個人情報を盗んだとされている。

関連記事:「バイオハザード」のカプコンがランサムウェア感染し、データ漏洩

今回の活動停止のニュースは、Bleeping Computerが米国時間8月26日に最初に報じた

正式な解散声明は出ていないため、Ragnarokがなぜ活動を終了すると決めたように見えるのかは不明だ。しかし、他のランサムウェアギャングも、2021年初めにランサムウェアを国家安全保障上の脅威とした米国政府からの圧力の高まりに直面して、同様の自滅戦術を取っている。JBS攻撃の背後にあったギャングであるREvilはインターネット上からミステリアスに消え、Colonial Pipeline(コロニアル・パイプライン)事件の攻撃者グループDarkSideも引退を発表している。

Ziggy Avaddon、SynAck、Fonixなどの他のランサムウェアギャングも、2021年に入ってハッキングから引退し、被害者がサイバー攻撃から立ち直るための復号鍵をそれぞれ手放している。

もちろん、Ragnarokの消滅が永久的なものなのか、それとも単にリブランドするだけなのかは今のところ不明だ。悪名高いランサムウェアギャングのDoppelPaymentは、数カ月間活動を停止した後、最近「Grief Ransomware」として再び姿を現した。

Recorded Futureのコンピュータセキュリティインシデント対応チームのAllan Liska(アラン・リスカ)氏は「一時的なものだとは思いますが、新たな勝利を目にするのはうれしいです」とツイートしている。

関連記事:ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない
画像クレジット:Bryce Durbin / TechCrunch / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

2021年上半期、サイバーセキュリティ分野の資金調達が過去最高の1.2兆円超え

ご存知のとおり、パンデミックは脅威を取り巻く状況を大きく変えた。2021年のランサムウェア攻撃件数はこれまでのところ290万件を数え、欧州共同体のサイバーセキュリティ当局ENISAによると、KaseyaSolarWindsを標的にしたサプライチェーン攻撃は2020年の4倍にのぼる。ENISAはこのほど、従来型のサイバーセキュリティ保護がこうしたタイプの攻撃に対してもはや効果的ではないと警告していた

関連記事
独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害
NASAと米連邦航空局もSolarWinds製品を使った大規模ハッキングで被害に遭ったとの報道

こうした事態は新興技術に対するこれまでにない需要を生み出し、最新のサイバーセキュリティ技術を詳しく検証しようとしている組織や投資家を引きつけている。

「世界中の民間・政府組織にとってこれまでで最も攻撃的な脅威を生み出す要素が重なっているパーフェクト・ストームを我々は目にしています」とNightDragonの創業者でマネージングディレクターのDave DeWalt(デイブ・デウォルト)氏は述べた。NightDragonはこのほどマルチクラウドセキュリティスタートアップのvArmourに投資した。「投資家、そしてアドバイザーとして、組織が増大しつつあるリスクを抑制する準備ができるようサポートするのは責務だと感じています」。

米国時間8月25日に発表されたMomentum Cyberの最新サイバーセキュリティマーケット調査によると、投資家は2021年上半期にサイバーセキュリティのスタートアップに115億ドル(約1兆2650億円)のベンチャーキャピタルを注いだ。2020年同期の47億ドル(約5170億円)から大幅に増えている。

Momentumによると、全投資案件430件のうち36件が1億ドル(約110億円)を超え、ここにはパスワード不要の認証会社Transmit Securityが調達した5億4300万ドル(約600億円)のシリーズA クラウドベースのセキュリティ会社Laceworkが完了した5億2500万ドル(約580億円)のラウンドが含まれる。

関連記事
パスワードのない世界を目指すTransmit Securityがサイバーセキュリティ史上最大のシリーズAで約601億円調達
クラウドセキュリティのLaceworkが2年連続収益300%増で約545.7億円のシリーズD投資調達
サイバーセキュリティのPanaseerがAllegisCyber Capital主導で約29億円のシリーズBを調達

「15年超にわたるサイバーマーケットの投資家として、こうしたマーケットを取り巻く状況はこれまでに目にしたことがないものだと言えます」とAllegisCyber Capitalの創業者でマネージングディレクターのBob Ackerman(ボブ・アッカーマン)氏は述べた。同社はこのほどサイバーセキュリティスタートアップPanaseerへの2650万ドル(約29億円)の投資をリードした。「CEOや役員、投資家たちがこの分野に真剣に耳を傾け、今日そして明日のサイバーセキュリティの問題を解決するイノベーションにリソースと資金を注ぐのをようやく目の当たりにしているのは心強いものです」。

驚くことではないが、2021年上半期のM&A件数も大幅に増え、特にクラウドセキュリティ、セキュリティコンサルティング、リスク&コンプライアンスの分野の企業を対象とする案件が激増した。Momentumによると、M&Aの取引額は163件合計で過去最多の395億ドル(約4兆3440億円)に達し、2020年上半期の93件の取引総額98億ドル(約1兆780億円)の4倍超となった。

これまでのところ2021年のM&A取引の9件が10億ドル(約1100億円)を超え、ここにはThoma Bravoによる123億ドル(約1兆3530億円)でのProofpoint買収、Oktaによる64億ドル(約7040億円)でのAuth0買収、TGによる40億ドル(約4400億円)でのMcAfee買収が含まれる。

「2021年上半期を通して、M&A件数、取引金額においてこれまでにない戦略的な動きを目の当たりにしてきました」とMomentum Cyberのマネージングパートナー、Eric McAlpine(エリック・マックアルパイン)氏とMichael Tedesco(マイケル・テデスコ)氏は述べた。「このトレンドは2021年残りと2022年も続くと予想しています」。

関連記事:マカフィーが法人向け事業を約4370億円で売却、消費者向けビジネスに専念画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

サイバー脅威を「狩る」XDRセキュリティ技術拡大のためHuntersがシリーズB33億円を調達

ランサムウェアやサプライチェーンセキュリティへの攻撃が増加する中、組織はより迅速に脅威を検知することが求められている。米国時間8月24日、Bessemer Venture Partners(BVP)が主導する3000万ドル(約33億円)のシリーズBラウンドを調達したと発表したHunters(ハンターズ)は、この機会を生かそうとしているスタートアップだ。

マサチューセッツ州ニュートンとイスラエルのテルアビブにオフィスを構えるHuntersは、2018年に設立され、これまでに総額5040万ドル(約55億3000万円)を調達している。同社は2019年5月に、YL VenturesとBlumberg Capitalが主導して540万ドル(約5億9000万円)のシードラウンドを調達した。続いて2020年6月に、Microsoft(マイクロソフト)のM12(旧Microsoft Ventures)とU.S. Venture Partnersが参加する1500万ドル(約16億5000万円)のシリーズAラウンドを実施した。2020年12月には、Snowflake VenturesがHuntersに出資する追加の成長資金調達ラウンドが発表された。

関連記事:セキュリティ脅威を芽の段階で狩るHuntersにデータクラウドのSnowflakeが追加投資

このスタートアップは、さまざまなソースやセンサーからデータを取り込む「Extended Threat Detection and Response(XDR)」と呼ばれる技術を構築している。XDRは、それらのデータを関連づけ分析し、潜在的な脅威を発見するための「ハント」を行う。ハンターズの共同創業者兼CEOであるUri May(ウリ・メイ)氏は、同社のOpen XDRプラットフォームが、攻撃者が組織へのアクセスや悪用に使用する戦術、技術、手順(TTPs:tactics, techniques and procedures)の特定に役立つと説明している。その目的は、潜在的なセキュリティインシデントの発見までの時間を短縮し、対応までの時間を加速させることにある。

Snowflake Venturesが同社に投資しているだけでなく、SnowflakeがHuntersのパートナーとして関与していることも、Bessemerを惹きつけた理由の1つだ。BVPのパートナーであるAlex Ferrara(アレックス・フェラーラ)氏は、彼の視点では、Huntersと同じ分野のベンダーは他にもあるが、Snowflakeのようなクラウドデータウェアハウスベンダーと提携しているところはなく、これが大きな差別化要因になったと述べている。しかし概して、フェラーラ氏と彼の会社にとってHuntersが興味深いスタートアップとなっている理由は、市場の状況とサイバー攻撃の現状にある。

フェラーラ氏は、TechCrunchの取材に対しこう述べた。「ランサムウェアの組織化が進むのを目の当たりにしているので、Huntersには期待しています。多くの事業やミッドティア市場の企業がすでに危険にさらされていると思われる中で、より積極的に対応できるHuntersのようなソリューションが必要だと考えています」。

同氏は、Huntersが市場のもう1つの重要なトレンドに適合していると考えている。それは、有能なセキュリティ専門家のギャップを埋めるためのニーズだ。Huntersの技術は自動化と機械学習(ML)を利用しており、セキュリティアナリストが短時間でより効果的な作業を行えるようになっている。

メイ氏は、今回の新たな資金調達により、Huntersはスタートアップ企業として次のステージに進むことができると述べている。同社はこれまでに、顧客獲得と収益に関する社内のマイルストーンを達成し、XDR技術が市場に適合していることがわかったという。現在はビジネス規模を拡大し、市場開拓のための営業・マーケティング活動やパートナーとの連携を強化したいと考えているとのこと。同氏はまた、今回の資金調達を機に、ますます騒がしくなってきたセキュリティ技術のビジネスに切り込み、市場を破壊するような新しいイノベーションを起こし、ユーザーにさらに多くの機能を提供したいと強調している。

Huntersが取り組んでいる新機軸の中には、情報源をよりよく理解し、相関させるための機械学習技術の強化も含まれている。Huntersプラットフォームのソースを拡大することは、メイ氏が自社プラットフォームの拡大を期待しているもう1つの分野であり、将来的にはより多くの脅威インテリジェンスデータフィードを統合することを目指しているという。

「自社で行っているサイバーセキュリティの研究に関連したイノベーションという点で、私たちは非常に綿密でユニークなロードマップを作成しています」とメイ氏は語った。

画像クレジット:Hunters

原文へ

(文:Sean Michael Kerner、翻訳:Aya Nakazato)