米国時間6月7日の午後、米司法省は、米国でパイプラインを運営するColonial Pipeline(コロニアル・パイプライン)が2021年5月にロシアのDarkSide(ダークサイド)と呼ばれるハッカー集団側に支払った暗号資産の身代金のうち、大半を回収したと発表した。支払われた暗号資産がハッカーグループの所有する複数のアカウント間を経由した動きを追跡し、連邦裁判所判事の承認を得て、そのアカウントの内の1つに侵入できたことで回収に成功したものだ。
2021年5月、同社へのサイバー攻撃により、主要なパイプラインが閉鎖を余儀なくされ、それが元でガソリンの買い占めによる燃料不足が引き起こされた(加えて、内部サーバーのオーバーロードとやらが原因で、その後パイプラインが再度閉鎖されたため苦境に陥った)ことを考えると、身代金回収の発表は気味の良い話であった。
しかし、実績のある連続起業家であり、政府や企業への攻撃を追跡して、独自のメディア手腕を発揮するセキュリティインテリジェンス企業Recorded Future(レコーデッド・フューチャー)を創設したChristopher Ahlberg(クリストファー・アルバーグ)氏によると、米国人はダークサイドを最初から過大評価してきたという。先に行われたインタビューの中で、同氏はダークサイドの運営方法について詳しく説明している。インタビューはここから視聴できるが、長いので会話の抜粋を以下に紹介する。
TechCrunch(以下「TC」):貴社の技術的な取り組みを大まかに教えてください。
Christopher Ahlberg(クリストファー・アルバーグ氏、以下「CA」):当社で行っているのは、インターネットをインデックスすることです。インターネットに書き込まれたすべてのデータを、電子の動きまで含めて把握しようとしています。いわば悪質なハッカーの頭の中に入り、どこで活動しているのか、彼らがデータを送信し不正なインフラを運営しているネットワーク上で何が起こっているのかを突き止めようとしているわけです。また、悪質なハッカーがさまざまな興味深い場所に残した痕跡を妨害するようにもしています。
TC:どのような顧客をお持ちですか。
CA:国防総省から世界有数の大企業まで、全部で1000ほどです。おそらく、3分の1は政府関係、別の3分の1は金融関係、残りは輸送機関を含むさまざまな業種です。
TC:貴社が提供するのは、攻撃を予測するサポートですか。それとも、手遅れになった事態で何が起きたかを突き止めるのでしょうか。
CA:両方です。
TC:どうやって危険を察知していますか。
CA:まずは、敵つまり悪質なハッカーを理解することです。大きく分けて2つの括りがあります。サイバー犯罪者と敵対する情報機関です。
ここ1、2カ月の間に世界や我々が注目している犯罪者は、ランサムウェアギャングです。彼らはロシアのギャングです。「ギャング」と聞くと、大きなグループ集団をイメージしがちですが、(しかし)通常は1人か、2~3人です。こういったギャングの規模を過大評価することはありません。
(一方で)情報機関は、非常に装備が整っており、大勢の人が(関与)しています。(我々の仕事は)1つには敵を追跡すること、もう1つは彼らが運営するネットワークを追跡すること、最後に、オンプレミスで実際のシステムにアクセスしなくても、サイバー攻撃のターゲットとなりうる人物のデータを入手することです。これら3つを、すべて自動化された方法で行います。
TC:情報機関と、これらロシア系ギャングの連絡係の間に交信があると見ていますか。
CA:簡単にいうと、我々の見解としては、これらのグループがロシアの情報機関から毎日、毎月、あるいは毎年のように任務を受けているわけではないと思います。しかし、世界の一連の国々、ロシア、イラン、北朝鮮は少し異なりますが、中国でもある程度は、政府がハッカーの成長を後押ししていることが観察されてきました。主にロシアでは、サイバー犯罪が規制されることなく野放しになっています。そして徐々に、FSB(エフエスビー)、SVR(エスブイアール)、GRU(ジーアールユー)といったロシアの情報機関が、それらのハッカーグループから人材を引き抜いたり、実際に任務を与えたりするようになりました。公式文書を見ると、長い時間をかけて、情報機関とこれらのグループがどのように結び付き、手を取り合ってきたかが分かります。
TC:サイバー攻撃の後、ダークサイドがBitcoin(ビットコイン)や決済サーバーにアクセスできなくなり、シャットダウンすると言った際には、どう思いましたか。
CA:もし、あなたがこのハッカー攻撃を仕かけた人だとしましょう。その時には、おそらくコロニアル・パイプラインが何かを全然知らなかったでしょう。「やばい、米国のあちこちの新聞に取り上げられてしまった」と思ったでしょう。そして、ロシアでおそらく数本の電話がかかってきて「なんてことをしてしまったんだ、どうやって隠そう」と考えたはずです。
一番簡単なのは「私はやっていない」というか「もうそのお金は失われた、サーバーにアクセスできなくなった」ということです。ですから、私はあれはフェイクだったと思います。痕跡を隠すために全部行っていたと思います。(そう仮定すると)後で、別の方法を試みていたこともわかっています。私たち、米国政府がすぐにこれらハッカーに反撃できると過大評価していたと思います。純粋にそう思い込んだわけですが、そんなにすぐにはできないでしょう。もちろんこれは、政府の内部情報か何かを見て言っているわけではありません。
TC:DarkSide(ダークサイド)は、フランチャイズのように運営されていて、個々のハッカーがソフトウェアを受け取り、ターンキープロセスのように使っていると書かれていました。これは新しい流れですか。今後もっと大勢の人がハッキングに関わるようになると思いますか。
CA:その通りです。ロシア系のハッカーがすごいのは地下で分散する性質を持っていることです。「すごい」というのは少し皮肉も込めてですが、実際ランサムウェアを書く人たちもいれば、彼らが提供したサービスを使って、システムに入り込みハッキングをする人たちもいます。また、ビットコインのタンブリングを通じて、ビットコインの取引を行う人もいるでしょう。興味深い点の1つは、エンドゲームで現金を手に入れるには、これらの換金処理を通らなければならないので、最終的により洗練されたビジネスになることです。マネーミュールが関係している可能性もあり、そのマネーミュールを運営する人たちもいます。彼らの多くは、クレジットカード詐欺を行っており、カードが有効かを確認したり、どうやってお金を引き出すかを考えたりするなど、一連のサービスを提供しています。これには、おそらく20種類ほどのサービスが関わっているでしょう。すべて、非常に高度に特化されています。これが、彼らが成功を収めている理由であり、対応するのが難しい理由でもあるのです。
TC:彼らは利益を分けているのでしょうか。もしそうなら、仕組みはどうなっていますか。
CA:はい、利益を共有しています。かなり効果的なシステムが運営されています。支払い方法が存在するという点で、ビットコインが、これを可能にする大きな要因となっていることは明らかです。(しかし)eBay(イーベイ)の出品者のような、ランキングや評価システムも持っています。整備された地下フォーラムが存在していて、これまでずっと彼らの運営場所となってきましたし、もしサイバー犯罪者内で詐欺を働く人がいるとすれば、それを告発することができるようなサービスも提供されています。これはインターネットと同じです。なぜインターネットがうまく機能するのか、それは非常に広く分散しているからです。
TC:貴社の顧客以外でも、安全を守りたいと思っている方々に何かアドバイスがありますか。
CA:どの業界がランサムウェアの攻撃を受けているかを示す円グラフを同僚が作ってくれました。興味深いことに、20の異なる業界にわたり、攻撃は非常に幅広く分布しています。コロニアル・パイプラインに関しては、多くの人が「ああ、石油関係ね」と思ったかもしれませんが、ハッカーはそこまで業界を気にしていません。一番動きが鈍いターゲットを狙ってきます。ですから、簡単に攻撃できるターゲットにならないことが大切です。
多くの企業が、基本を守り、システムにパッチを行い、(加えて)アップデートを確実に行っているのは良いことです。危険にさらされないよう、インターネットに置いておく情報をできるだけ減らすことです。外界と接する表面積をできるだけ狭めてください。すべての事に、取り扱うものにはすべて、強力なパスワードと二要素認証を使ってください。
簡単に狙われないための10項目から成るチェックリストを用意しました。昨今の非常に高度なギャングに対応するには十分ではないので、さらにしっかりとした対策を講じる必要がありますが、チェックリストにある基本を押さえておけば、かなりの効果が見込めます。
関連記事
・富士フイルムにランサムウェア攻撃か、ネットワークを遮断し調査
・コロナ後のオフィスに戻った従業員をハッカーが「おかえりなさい」フィッシングの標的に
・macOSのゼロデイを悪用し密かにスクショを撮る新たなマルウェア、アカウント情報も取得可能(11.4で修正済み)
画像クレジット:Getty Images
[原文へ]
(文:Connie Loizos、翻訳:Dragonfly)
