「NetWalker」ランサムウェア攻撃関与の元カナダ政府職員が米国に送還、約32億円超相当のビットコイン押収

数十のランサムウェア攻撃を行ったとして起訴されたカナダの元政府職員が米国に送還され、この事件に関連して2800万ドル(約32億8500万円)以上のビットコインが押収された。

LinkedInのプロフィールによるとカナダ公共事業・政府業務省(PWGSC)でITコンサルタントとして働いていたSebastien Vachon-Desjardins(セバスチャン・ヴァション=デジャルダン)容疑者は、米国時間3月9日に米国に身柄を引き渡され、NetWalkerランサムウェアグループに参加した疑いで複数の罪に問われると、米国司法省(DOJ)は3月10日に発表した

NetWalkerは「Mailto」としても知られるRaaS(ランサムウェア・アズ・ア・サービス)で、ランサムウェアを展開するアフィリエイトを募り、身代金の一部を分配することで事業を展開している。このグループは2019年に初めて表面化し、その後、いくつかのハイプロファイルのサイバー攻撃と関連している。2020年6月にはカリフォルニア大学サンフランシスコ校を標的にし、その際に同校は100万ドル(約1億1700万円)以上の身代金を支払った。その3カ月後、NetWalkerはサイバー脅威スタートアップのCygilant(サイジアント)を襲った

このRaaS運営グループは、アルゼンチンの移民局、パキスタン最大の民間電力会社、そして新型コロナウイルスのパンデミック中には、多くの病院や法執行機関も標的にしていた。暗号資産分析会社Chainalysisによると、2019年8月から2021年1月の間に、NetWalkerが関与するランサムウェア攻撃は、4600万ドル(約53億円)にのぼる身代金を引き出しているという。

ヴァション=デジャルダン容疑者は、NetWalkerランサムウェアグループを標的とした国際法執行キャンペーンの一環として、2021年1月にカナダの警察に逮捕された。ケベック州にある彼の自宅を捜索した際、警察官は執筆時点で約2810万ドル(約33億円)相当の719ビットコインと、79万ドル(約7280万円)のカナダ通貨を発見した。米国とベルギーの当局は、NetWalkerが被害者から盗んだデータを公開するために使用していたダークウェブのサイトも差し押さえている

当時、ヴァション=デジャルダン容疑者は、カナダの裁判所で、コンピュータデータの窃盗、恐喝、暗号資産の身代金の支払い、犯罪組織の活動への参加に関する5つの罪を認め、7年の禁固刑を言い渡された。

ヴァション=デジャルダン容疑者は現在米国にいるため、コンピュータ詐欺と電信詐欺の共謀、保護されたコンピュータへの故意の損害、保護されたコンピュータへの損害に関連した要求の送信で告発され、さらなる罪に問われている。

有罪判決を受けた場合、NetWalkerランサムウェア一味との関わりにより、2700万ドル(約31億6800万円)以上の没収を求められる可能性がある。

ケネス・ポリテ・ジュニア司法次官補はこう述べている。「カナダのパートナーによる暗号資産の押収に代表されるように、我々は、国内外を問わず、ランサムウェアの収益とされるものの押収・没収を法的に可能なあらゆる手段を用いて追求します。当省は暗号資産だからといって身代金の追求と押収をやめることはなく、これにより、暗号資産を使って法執行から逃れようとするランサムウェア犯の企みを阻止します」。

ヴァション=デジャルダン容疑者の送還のニュースは、REvilランサムウェアグループのメンバーがKaseyaハッキングへの関与の疑いで逮捕され、米国で告発を受けるためにテキサス州に送還されたわずか数日後に発表された。

画像クレジット:TechCrunch(スクリーンショット)

原文へ

(文:Carly Page、翻訳:Den Nakano)

ポーランドで逮捕されたランサムウェア犯罪グループ「REvil」のメンバー1人が米国に引き渡される

ランサムウェアグループ「REvil(レヴィル)」の主要メンバーの1人とされる人物が逮捕され、米国で裁きを受けるためにテキサス州に引き渡された。この人物は、IT管理ソフトウェアを提供するKaseya(カセヤ)にサイバー攻撃を仕かけ、同社の数千もの顧客のネットワークを暗号化した犯罪の実行犯である疑いがあると、連邦当局は述べている。

この22歳のウクライナ人、Yaroslav Vasinskyi(ヤロスラフ・ヴァシンスキー)容疑者は、現地時間10月8日にポーランドで逮捕された。8月に提出された起訴状によると、同容疑者はコンピュータハッキングと詐欺の疑いで告発されており、今週ダラスの連邦裁判所に喚問され引き渡されるまで拘束されていた。

一時期、別名Sodinokibi(ソディノキビ)とも呼ばれるサイバーギャング組織のREvilは、最も活発で多くの犯罪を行っているランサムウェアグループの1つだった。同グループは、しばしば被害者のコンピューターを暗号化し、高額な身代金を要求することがある。このロシア語を話すランサムウェア・アズ・ア・サービスの手口は、身代金として企業の利益の一部を受け取る代わりに、暗号化を解除するためのインフラへのアクセスを貸し出すというものだ。

このグループは出現以来、食肉加工工場のJBSに攻撃を仕掛けて食糧生産に遅れを生じさせたり、パソコンメーカーのAcer(エイサー)やエネルギー大手のInvenergy(インベナジー)などの企業のデータベースに侵入して個人情報を流出させた。

しかし、最も注目を集めたのは、ITおよびネットワーク管理ソフトウェア会社のKaseyaに対する攻撃だ。REvilのランサムウェアは、同社のソフトウェアを使用する顧客のネットワークで下流に向けて拡散し、数千の企業が影響を受けたとされる。そこで米国政府は、このハッカーを裁くための情報を求めて、1000万ドル(約11億7000万円)の懸賞金を打ち出すことになった。

Kaseyaの攻撃から数週間後、同社は世界共通の復号キーを入手し、顧客が数百万ドル(数億円)相当の身代金を支払わずともシステムのロックを解除できるようにした。The Washington Post(ワシントン・ポスト紙)によると、FBIは密かにキーを入手し、Kaseyaの攻撃で非難された後、しばらくしてインターネットから姿を消したハッカーの取り押さえを計画していたが、それは実現しなかったという。

10月までに米国政府は、この犯罪グループをオフラインに追い込む多国籍の取り組みを行っていたことを明らかにした。その後、ルーマニアとロシアの法執行機関がメンバーを逮捕し、グループはほぼ解体され、数百万ドルの現金と暗号資産が押収された。

「海外からKaseyaへのランサムウェア攻撃を行ったとみられる時からわずか8カ月後、この被告人は裁きを受けるためにダラスの法廷に到着しました」と、米国司法長官代理のLisa Monaco(リサ・モナコ)氏は声明で述べている。「私たちは攻撃されたら、国内外のパートナーと協力し、サイバー犯罪者がどこにいようと追い求めます」。

ヴァシンスキー容疑者は、Kaseyaの攻撃に関連して米国検察当局によって起訴されたREvilのメンバーとされる2人のうちの1人で、もう1人は28歳のロシア人、Yevgeniy Polyanin(エフゲニー・ポリアニン)である。

ヴァシンスキー容疑者は、有罪判決を受けた場合、100年以上の懲役刑が科せられる。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

NVIDIA社員のパスワード数千件がネットに流出、ハッカー集団から奇妙な要求

半導体製造大手のNVIDIA(エヌビディア)から1テラバイト分のデータを奪ったと主張するランサムウェア集団は、一味のますます奇妙な要求に応じなければ、同社の「最も厳重に守られた秘密」をすぐにでも公開すると脅迫している。

NVIDIAからデータを盗んだことを、2月末に初めて表明したランサムウェア集団「Lapsus$」は、すでにデータの流出を始めている。データ漏洩監視サイト「Have I Been Pwned(ハブ・アイ・ビーン・ポウンド、HIBP)」によると、このハッカーたちは7万1000人以上のNVIDIA従業員の認証情報を盗んだとのこと。TechCrunchが確認したところでは、盗まれたNVIDIAのいくつかのメールアドレスは、すべて流出したようだ。HIBPによると、データにはメールアドレスとWindowsのパスワードハッシュが含まれており「その多くがクラックされ、ハッキングコミュニティ内に流通した」という。

NVIDIAは先日、攻撃を受けて従業員の認証情報が盗まれたことを認めたものの、影響を受けた人々に通知したかどうか、あるいは漏洩したアカウントのパスワードリセットを強制したかどうかについては、明言を避けた。この事件の影響が広がり、ハッカー集団の要求する期限が迫っているにもかかわらず、NVIDIAの事件対応ページは3月1日以降更新されていない

ハッカー集団は現在、NVIDIAがこのグループの奇妙な要求に応じない限り、回路図やソースコード、まだ発表されていない「RTX 3090 Ti」を含む最近のNVIDIAのグラフィックチップに関する情報など、同社の企業機密を公開すると脅している。

同グループはNVIDIAに対し、同社のRTX 30シリーズのグラフィックカード製品に搭載されている、物議を醸したEthereum(イーサリアム)採掘性能を制限する「Lite Hash Rate(LHR)」の削除を要求している。この性能制限は、暗号マイニングコミュニティの買い占めによって製品の在庫が枯渇し、ゲーマーが新しいグラフィックカードを入手できなくなったことを受けて、2021年5月に導入されたものだ。

「我々は、NVIDIAがすべての30シリーズのファームウェアに、すべてのLHR制限を削除するアップデートを配信することを望んでいる。さもなければ我々は(企業機密データが含まれる)フォルダをリークする」と、Lapsus$グループはTelegram(テレグラム)で述べている。「もし彼らがLHRを削除したら、我々はこのフォルダのことを忘れるだろう…。我々はどちらもLHRがマイニングとゲームに影響を与えることを知っている」。

先週初め、Lapsus$は別のおかしな要求を追加した。それは、NVIDIAに対して、macOS、Windows、Linux向けの、すべてのグラフィックチップのドライバをオープンソース化することを望むというものだ。同グループはNVIDIAに対し、3月4日までに応じるよう要求していた。

この日、TechCrunchはNVIDIAに、ハッカーの要求に応じる予定があるかと尋ねたが、同社はコメントを避けた。代わりに同社は、3月1日に発表したとものと同じ声明を我々に提示した。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

NVIDIAを攻撃のハッキンググループLapsus$、「イーサリアムのマイニング制限回避ツールを1億円以上で買い取れ」と脅迫か

NVIDIAを攻撃のハッキンググループLapsus$、「マイニング制限回避ツールを1億円以上で買い取れ」と脅迫か

NVIDIA

大手半導体メーカーのNVIDIAは、ここ数日南米のハッキンググループ「Lapsus$」の攻撃を受けており、企業機密の塊であるソースコードなどを盗み出されたとされています。その中には、任天堂の次期ゲーム機に関する技術情報も漏れているとの推測もありました

この犯罪グループがNVIDIAに対して、盗み出した情報の1つである「RTX3000系GPUに掛けられたイーサリアム(暗号資産)の採掘効率制限を回避するソフトウェアツール」を100万ドル(約1億1600万円)以上で買い取るように持ちかけ、従わない場合は競売に出して最高額入札者に売り払うと脅していることが報じられています。

GeForce RTX 3080や3070、3060 TiなどのNVIDIA製GPUの一部は、出荷時に暗号資産マイニングにおけるハッシュレート(=性能)が制限されています

なぜこのようなリミッターを掛けているのかといえば、暗号資産マイナー達の買い占めと半導体不足によって、GPUを買いたくても買えない人達があふれていたことから、あえて「ゲーマー以外に売れすぎないように」という狙いです。この制限は箱に書かれた文字から「NVIDIA LHR(Lite Hash Rate)」と呼ばれています。

Lapsus$が売りさばこうとしているのは、NVIDIA LHRバイパス(回避)ツールとでも呼ぶべきものです。彼らはRTX 3000シリーズのファームウェアを「フラッシュ」またはアップデートすることなく制限を回避できると主張しているとのこと。

彼らは今週初めにも公開チャットルームで「フラッシュなし=どのマイナーにとっても大金になる」と宣伝したとのスクリーンショットもあります。

NVIDIAを攻撃のハッキンググループLapsus$、「マイニング制限回避ツールを1億円以上で買い取れ」と脅迫か

しかしNVIDIA LHRは、採掘効率を本来の100%から50%に下げるにすぎず、マイナーらのコミュニティは50%から70%に引き上げる方法も考え出したとのこと。

またNVIDIAはLHRを今年(2022年)後半にかけて段階的に廃止する準備中ともいわれており、もしもNVIDIAが脅迫に屈せずツールが競売にかけられたとしても、100万ドルを出してまで飛びつく人がいるとは考えにくそうです。

むしろより大きな問題は、すでに盗み出したデータのうち19GB分を公開しているLapsus$が、さらに250GBが含まれたフォルダを公開すると脅していることです。世界はロシアのウクライナ侵攻で大変な事態となっていますが、こちらでもまだ一波乱あるのかもしれません。

(Source:PC Magazine。Via WccftechEngadget日本版より転載)

NVIDIA、ランサムウェア攻撃で機密データが流出

NVIDIA(エヌビディア)は、先週のサイバー攻撃でハッカーが従業員の認証情報や会社の専有情報などの機密データを同社のネットワークから盗み出し、現在「オンラインでリークしている」ことを確認した。広報担当者が米国時間3月1日、TechCrunchに語った。

NVIDIAは、2月4日に初めて明らかになったこの攻撃で、どのようなデータが盗まれたのかについては言及を避けた。しかし「Lapsus$」と呼ばれるランサムウェアの集団がTelegramチャンネルでこの攻撃を実行したことを明らかにし「機密性の高いデータ」や独自のソースコードなど1テラバイトの情報を盗んだと主張している。同グループの投稿によると、これにはNVIDIAのハッシュレートリミッターのソースコードが含まれていて、同社のRTX 30シリーズグラフィックカードのEthereum(イーサリアム)採掘性能を低下させるという。

Lapsus$は比較的知られていないが、2021年12月にブラジルの保健省を攻撃し、市民のワクチン接種情報など50テラバイトのデータを盗み、初めてランサムウェアのシーンに登場した。以来、ポルトガルのメディアグループImpresaや南米の通信事業者ClaroとEmbratelをターゲットにしてきた。

Emsisoft(エムシソフト)の脅威アナリストBrett Callow(ブレット・キャロウ)氏はTechCrunchに「Lapsus$が南米を拠点としていると考える研究者もいますが、それを示す証拠がどれほど確かなものかはわかりません。今のところ、彼らはやや素人っぽいように見えるので、関与した人物が経験豊富なサイバー犯罪者ではない可能性があります」と語った。

NVIDIAは、この攻撃の犯人と思われる人物についても言及を避けたが、2月23日に悪意のある侵入に気づいたといい、これを受けて同社は法執行機関に通知し、サイバーセキュリティの専門家を雇って攻撃に対応することになった。

この侵入はロシアのウクライナ侵攻の前日に発生したため、ロシアが支援するハッカーと関係があるのではないかとの憶測もあったが、NVIDIAは「ロシア・ウクライナ間の紛争と関係があるという証拠はない」と付け加えた。

同社は現在、盗まれ、その後流出した情報の分析に取り組んでいるが「この事件によって、当社の事業や顧客へのサービス提供能力に支障が生じることは予想していない」と述べている。先週の報道では、このサイバー攻撃により、同社のメールシステムや開発者用ツールが2日間オフラインになったとされていた。

NVIDIAの広報担当者は「セキュリティは、NVIDIAが非常に真剣に取り組んでいる継続的なプロセスであり、我々は日々、コードと製品の保護と品質に投資しています」とも述べた。

画像クレジット:Akos Stiller / Bloomberg / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

米政府機関が警告、ウクライナを標的にしているワイパー型マルウェアは他国にも飛び火する可能性

米国サイバーセキュリティー・インフラセキュリティー庁庁(CISA)および連邦捜査局(FBI)は、ウクライナ国内組織の攻撃に用いられているワイパー型マルウェアが米国内の企業に影響を及ぼす可能性があると警告する共同勧告を発表した。

週末に公開された勧告は、WhisperGate(ウィスパーゲート)およびHermeticWiper(ハーメティック・ワイパー)という最近ウクライナ国内組織に対する攻撃で使われたことがわかった2つの破壊的マルウェア種に関する情報を提供している。

WhisperGateはワイパー型マルウェアの一種で、ランサムウェアを装っているが、ファイルを暗号化するのではなく、システムのマスターブートレコードを破壊の標的にしている。このマルウェアを最初に見つけたのはMicrosoft Threat Intelligence Center(マイクロソフト脅威インテリジェンス・センター)で、去る1月にウクライナの政府、非営利団体、テック企業を含むターゲットに対する複数のサイバー攻撃で使用されていた。

もう1つの破壊的ワイパー型マルウェアであるHermeticWiperは、ロシアによる侵攻が開始される直前にウクライナ企業を標的にして使用された。セキュリティ製品企業のESETが発見したこのマルウェアは、コンピュータを制御不能に陥らせる。ESETが観察したウクライナ国内数百のコンピュータを標的としたその攻撃は、国のいくつかの重要なウェブサイトをオフラインに追いやった一連の分散型サービス妨害(DDoS)攻撃の数時間後に出現した。

共同勧告は、米国企業に対する脅威でロシア・ウクライナ緊張に直接結び付くものは見つかっていないが、各企業は防御体制を強化し、警戒を強める必要があると警告している。

「破壊的マルウェアは組織の日常業務に直接的脅威をもたらし、重要な資産やデータの利用に影響を及ぼす可能性がある」とCISAおよびFBIは勧告で言った。

「ウクライナ国内組織に対するさらなる破壊的サイバー攻撃が起きる可能性は高く、意図せず他国の組織に波及することもありうる。組織は警戒を強め、そのような事象に対する計画、準備、発見、対応の能力を確認すべきだ」と付け加えた。

米国は、一連のワイパー攻撃を正式にロシアに結びつけていないが、マルウェアを拡散する脅威の行為者は、ロシアの「いわれなきウクライナ侵攻」につながっている、と勧告は述べている。

CISAとFBIは、組織が破壊的ワイパー型マルウェアから身を守るためのセキュリティ侵害インジケーター(IOC)を提供するとともに、多要素認証を有効化し、アンチウイルス・アンチマルウェア・プログラムの導入、スパムフィルターの設定、あらゆるソフトウェアのアップデート、ネットワークトラフィックのフィルタリングなどの対策を講じることで、自らを保護するよう企業に要求した。

関連記事:ウクライナがロシアにハッキングで対抗する「IT部隊」を募集し反撃、テックリーダーにも参加を呼びかけ

画像クレジット:Justin Sullivan / Getty Images

原文へ

(文:Carly Page、翻訳:Nob Takahashi / facebook

ロシアのウクライナ侵略支持を宣言したContiランサムウェアグループの内部チャットがネットに流出

ランサムウェアグループConti(コンティ)のチャットログのキャッシュが、ロシアのウクライナ侵攻を支持するグループに異議を唱えると主張している内部関係者らによって、オンライン上に流出した。

情報は、マルウェアのサンプルやデータを収集するマルウェア研究グループであるVX-Undergroundに共有された。流出したデータセットには、Contiグループの母国語であるロシア語での数万件の内部チャットログを含む約400のファイルがある。このファイルには、2020年半ばにグループが初めて結成されてから約半年後の2021年1月までさかのぼる約1年分のメッセージが保存されている。

ランサムウェアの専門家は、グループの内部運営についてより詳しく知るために、すでにこのファイルに目を通している。セキュリティ研究者のBill Demirkapi(ビル・デミルカピ)氏はファイルを英語に翻訳した。

「ウクライナに栄光あれ」と、リーク者はメッセージで述べている。

Contiはランサムウェア・アズ・ア・サービス(RaaS)グループで、関連機関はContiのインフラへのアクセスを借りて攻撃を仕掛けることができる。専門家によると、Contiはロシアを拠点としており、ロシアの諜報機関とつながりがある可能性があるという。

今週初めにContiは、ロイターが最初に報じ、TechCrunchも確認したブログ投稿の中で、ロシアの隣国ウクライナへの侵攻を「完全に支持している」と述べ、ロシアがサイバー攻撃や軍事攻撃を受けたら、重要インフラに報復すると宣言した。更新された投稿では、同グループはどの政府とも手を結んでいないと主張したが、改めてこう述べた。「平和な市民の幸福と安全がアメリカのサイバー攻撃のために危険にさらされる場合、反撃するために我々のリソースを使用する」。

Contiは、Fat Face(ファットフェイス)やShutterfly(シャッターフライ)など数十の企業、そして緊急通報センターや救急隊ネットワークなどの重要インフラを標的としたランサムウェア攻撃で非難されてきた。2021年5月には、Contiはアイルランドの医療サービスのネットワークを攻撃し、これによりアイルランドはITシステムの全国的な停止を余儀なくされ、国中で深刻な遅延が発生し、復旧するのに1億ドル(約115億円)超かかった。

クラウドソーシングによるランサムウェア追跡サイトのRansomwareによると、Contiはこれまでに3010万ドル(約34億円)超の身代金を回収した。

「今回の情報流出は、Contiにとって大きな痛手です。同社の関連会社やその他の関係者が、Contiのオペレーションに対する信頼をなくしただけではありません」と、Emsisoftのランサムウェア専門家で脅威アナリストのBrett Callow(ブレット・カロウ)氏は述べた。「彼らは間違いなく、作戦がいつ危険にさらされたのか、法執行機関は関与しているのか、そして自分たちにつながる手がかりがあるのか、と考えていることでしょう」。

「多くのRaaSオペレーションは、ロシアに拠点を置くものを含め、ウクライナとつながりがあります。従って、作戦の内部を知る人物を怒らせる危険があるため、作戦を公にするのは戦術的には失敗です」とカロウ氏は話す。

Contiのファイルの流出は、ロシアの侵攻に対応してロシアのサイト、サービス、インフラを標的としたウクライナの「IT軍」の結成など、ハクティビストとセキュリティ同盟による幅広い取り組みの一部だ。

関連記事:ウクライナがロシアにハッキングで対抗する「IT部隊」を募集し反撃、テックリーダーにも参加を呼びかけ

画像クレジット:NurPhoto / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

FBIが新たに「ランサムウェアの爆発的増加」に対応する暗号資産犯罪ユニット立ち上げ

米国連邦捜査局(FBI)は、暗号資産関連犯罪やランサムウェアによる利益を追跡するための専門部署を新たに立ち上げることを発表した。

Lisa Monaco(リサ・モナコ)司法副長官は、今週開催されたMunich Cyber Security Conference(MCSC)での講演で、Virtual Asset Exploitation Team(VAXU、仮想資産搾取ユニット)の設立を発表し、この新部署は「市場がイノベーションを生み出すのと同じ速さで、それを悪用する脅威の行為者」に米国政府が対応するのに一役買うと述べた。

さらにモナコ氏は、FBIが現在100種類以上のランサムウェアの亜種を追跡していることを指摘し「ランサムウェアの爆発的な増加と暗号資産の乱用」も同チームの担当に含まれると述べた。Chainalysisの報告によると、詐欺師が2021年に世界の被害者から奪った暗号資産は77億ドル(約8860億円)以上で、前年に比べて80%増加しているという。

FBIのVAXUユニットは、暗号資産の専門家、ブロックチェーン分析、暗号資産の押収を1つにまとめ、捜査を行うとともに、FBIの他の部署にトレーニングを提供する。この専門部署は、デジタル資産の犯罪利用を調査するために2021年末に創設された米国司法(DOJ)の部門である国家暗号資産執行チーム(NCET、National Cryptocurrency Enforcement Team)の一部を構成し、特に暗号資産取引所や、暗号資産の悪用を可能にしたり犯罪行為を助長するその他の技術に重点を置いていく。

モナコ氏はこう述べている。「ランサムウェアやデジタル恐喝は、暗号資産を利用した他の多くの犯罪と同様に、犯罪者が支払いを受ける場合にのみ機能します。つまり、彼らのビジネスモデルを破壊しなければならないということです。通貨は仮想かもしれませんが、企業に伝えたいメッセージは具体的です。『私たちに報告していただければ、お金の流れを追うことができ、あなたの組織を助けるだけでなく、うまくいけば次の被害者が出るのを防ぐことができます』」。

また、モナコ氏は今週、サイバー犯罪者の検挙経験を持つ連邦検事のEun Young Choi(チェ・ウンヨン)氏をNCETの初代ディレクターに任命したことを発表した。

「NCETは、デジタル資産を取り巻く技術が成長・進化する中で、あらゆる種類の犯罪者による不正利用に対抗するための取り組みを司法省が加速・拡大していく上で、極めて重要な役割を果たすことになるでしょう」とチェ氏は述べている。

今回の発表は、2016年に暗号資産取引所Bitfinex (ビットフィネックス)のハッキングで盗まれたとされる9万4000以上のBitcoin(現在の価値は36億ドル / 約4200億円)を司法省が押収し、同省による「史上最大」の金融資産押収となった数週間後に行われた。

関連記事:米司法省がハッキングで盗まれた4160億円相当のビットコインを押収、ロンダリングの疑いで技術系スタートアップ関係者夫婦を逮捕

画像クレジット:Stefani Reynolds / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

FBI、BlackByteランサムウェアが米国の重要インフラを狙っていると警告

米国連邦捜査局(FBI)とシークレットサービス(Secret Service)のアドバイザリーによると、BlackByteランサムウェアギャングが少なくとも3つの米国の重要インフラセクターを標的にし、カムバックを遂げたようだ。

BlackByteはRaaS(Ransomware as a Service、ランサムウェア・アズ・ア・サービス)事業者で、ランサムウェアのインフラを他者にリースし、身代金の収益の一定割合を得ることを目的としている。このギャングは、2021年7月にソフトウェアの脆弱性を悪用して世界中の企業の被害者をターゲットにして出現した。BlackByteは米国、欧州、オーストラリアの製造業、医療、建設業に対する攻撃をセキュリティ研究者が確認するなど、当初は一定の成功を収めた。しかし数カ月後に、サイバーセキュリティ企業のTrustwaveがBlackByteの被害者がファイルを無料で復元できる復号化ツールを公開したことで、ギャングは苦境に立たされた。このグループの単純な暗号化技術により、このランサムウェアがアマチュアの仕業であると考える人もいた。ランサムウェアは、AESでファイルを暗号化する際に、セッションごとに固有の鍵ではなく、同じ鍵をダウンロードして実行していた。

しかし、このような挫折にもかかわらず、BlackByteの活動は再び活発化しているようだ。FBIと米国シークレットサービス(USSS)は、米国時間2月11日に発行されたアラートの中で、同ランサムウェアが米国内外の複数の企業を危険にさらしており、その中には政府機関、金融サービス、食品・農業関連など、米国の重要インフラに対する「少なくとも」3つの攻撃が含まれていると警告している。

このアドバイザリーは、ネットワーク防御者がBlackByteの侵入を識別するためのセキュリティ侵害インジケータを提供するもので、ランサムウェアギャングがSan Francisco 49ers(サンフランシスコ・フォーティナイナーズ)のネットワークを暗号化したと主張する数日前に公開された。BlackByteは、13日に行われたスーパーボウルの前日に、盗まれたとする少数のファイルを流出させることで、攻撃を公表した。

Emsisoft(エムシソフト)のランサムウェア専門家で脅威アナリストであるBrett Callow(ブレット・キャロウ)氏は、TechCrunchに対し、BlackByteは最も活発なRaaS事業者ではないものの、過去数カ月の間に着実に被害者を増やしてきたと述べている。だが最近、米国政府がランサムウェア業者に対して行っている措置を受けて、BlackByteは慎重なアプローチを取っているのではないかという。

関連記事:ランサムウェアの潮目が変わった、米国当局が勝ち目のないと思われた戦いにわずかながら勝利を収めた

「FBIとUSSSのアドバイザリによると、BlackByteは政府を含む少なくとも3つの米国の重要インフラセクターへの攻撃に投入されています。興味深いことに、ギャングのリークサイトにはそのような組織は掲載されていません。これは、それらの組織が(身代金を)支払ったか、データが漏洩しなかったか、あるいはBlackByteが漏洩したデータを公開しないことを選択したことを示しているのかもしれません」と述べています。「REvilのメンバーが逮捕されて以来、ギャングはデータを公開することにより慎重になっているようで、特に米国の組織の場合はそうした傾向が見られます」。

このランサムウェアはREvilと同様に、ロシア語やCIS言語を使用しているシステムのデータを暗号化しないようにコーディングされているため、BlackByteがロシアを拠点としていることを示す兆候はあるものの、だからといって「ロシアやCISを拠点とする人物によって攻撃が行われたと考えるべきではない」とキャロウ氏は述べている。

また「ギャングに属する関係者は、RaaSを運営する人物らと同じ国にいるとは限りません」と同氏は付け加えた。「彼らは、米国を含むどこにでも存在し得ます」。

関連記事:米司法省がテック企業Kaseyaを攻撃したハッカーを起訴、別件の身代金6.9億円も押収

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

キャノンやLGも襲ったMaze、Egregor、Sekhmetランサムウェアの復号キーが公開される

Maze、Egregor、Sekhmetランサムウェアファミリーのデクリプターが公開された。これはサイバー犯罪者が最近の法執行機関の動きに脅かされていることを示している。

関連記事:ランサムウェアの潮目が変わった、米国当局が勝ち目のないと思われた戦いにわずかながら勝利を収めた

Mazeは、かつて最も活発で悪名高いデータ窃盗ランサムウェアグループの1つとされていた。2019年5月に活動を開始したこのギャングは、ハッカーがまず被害者のデータを抽出し、身代金を支払わなければ盗んだファイルを公開すると脅すという、二重恐喝モデルを導入したことで悪名を馳せた。典型的なランサムウェアグループは、ファイルを暗号化するマルウェアを被害者に感染させ、ファイルを人質にして暗号資産を要求する。

2020年11月に閉鎖を発表したこのグループは、Cognizant(コグニザント)、Xerox(ゼロックス)、LG、Canon(キャノン)など、数多くの著名企業を被害者にした。

関連記事
悪名高いランサムウェアグループのMazeが「正式閉鎖」を宣言
IT最大手のCognizantがランサムウェア攻撃を受けたことが判明

Egregorは2020年9月、Mazeの活動が停止し始めた頃に現れ、前身と同じ二重恐喝の手法を採用した。Ubisoft(ユービーアイソフト)、Barnes & Noble(バーンズ・アンド・ノーブル)、Kmar(Kマート)、バンクーバーの地下鉄システムなど、多くの被害者を出したものの、2021年2月にEgregorのメンバー数名がウクライナで逮捕されたため、活動は短命に終わった。

2020年3月に活動を開始したSekhmetは、MazeやEgregorと多くの類似点を持っている。後者よりも先に登場しているが、サイバーセキュリティ研究者は、類似した戦術、難読化、APIコール、身代金要求メッセージを観察している。

米国時間2月9日、これら3つのオペレーションの開発者を名乗る「Topleak」と名乗る人物が、Bleeping Computerフォーラムへの投稿で、3つすべてのランサムウェアファミリーの復号鍵を公開した。

Topleak は「多くの疑惑を招くことになり、そのほとんどが虚偽となるため、強調しておく必要がありますが、これは計画的なリークであり、最近の逮捕やテイクダウンとは何の関係もありません」と述べ、チームメンバーの誰もランサムウェアに戻ることはなく、ランサムウェアのソースコードはすべて破棄したと付け加えた。

復号鍵が正規のものであることを確認したEmsisoft(エムシソフト)は、Maze、Egregor、Sekhmetの被害者が無料でファイルを復元できるようにデクリプターをリリースした。

Emsisoftのランサムウェア専門家であり、脅威アナリストであるBrett Callow(ブレット・キャロウ)氏は、復号鍵の公開は、サイバー犯罪者が動揺していることを示す1つの兆候であるとTechCrunchに語っている。

「復号鍵を公開したことは、最近のREvilの逮捕とは何の関係もないとギャングは主張していますが、そんなわけありません。現実には、彼らのコストとリスクがともに増加しているのです」とキャロウ氏はいう。「ランサムウェアがこれほど大きな問題になったのは、サイバー犯罪者がほとんど完全に無罪放免で活動できたからです。しかし、もはやそれは通用しません。問題が解決されたわけではありませんが、リスクとリターンの比率において、(犯罪者にとって)より多くの『リスク』が存在するようになりました」。

関連記事:米司法省がテック企業Kaseyaを攻撃したハッカーを起訴、別件の身代金6.9億円も押収

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

次のランサムウェアのターゲットは組み込み機器か?

2021年は、ランサムウェアギャングが重要インフラに目を向け、製造業、エネルギー流通、食品生産を中心とした企業をターゲットにした年として記憶されるだろう。

Colonial Pipeline(コロニアル・パイプライン)のランサムウェア攻撃は、ITネットワークへのランサムウェア攻撃が燃料を分配するパイプラインを制御する運用ネットワークへ広がる懸念から、結果として5500マイル(約8850km)のパイプラインを停止させる事態となった。

運用・制御技術(OT)ネットワークは、生産ライン、発電所、エネルギー供給を継続的に行うために重要な機器を制御するもので、重要なハードウェアをサイバー攻撃からより適切に隔離することができるよう、通常、企業のインターネット向けITネットワークからセグメント化されている。OTネットワークに対する攻撃が成功することはだが、Colonialへのランサムウェア攻撃をきっかけに、CISA(米国土安全保障省サイバーセキュリティー・インフラセキュリティー庁)は重要インフラ所有者にとって脅威が増大していると警告している。

セキュリティ研究者は現在、これらのOTネットワーク上にある組み込み機器がもたらすリスクについて警鐘を鳴らしている。組み込み機器向けのセキュリティプロバイダーRed Balloon Security(レッドバルーンセキュリティ)は、実際のネットワークで使用されている組み込みシステムでランサムウェアを展開することが可能であることを、新たな調査で明らかにした。

同社によると、Schneider Electric(シュナイダーエレクトリック)のEasergy P5保護リレーに脆弱性が発見された。この装置は、障害が発見されるとサーキットブレーカーを作動させ、現代の電力網の運用と安定性に重要な役割を果たすものだ。

この脆弱性を悪用してランサムウェアのペイロードを展開することが可能で、Red Balloonはこのプロセスを「高度だが再現可能」だと述べている。Schneider Electricの広報担当者はTechCrunchに対し「サイバー脅威には非常に警戒している」とし「Schneider ElectricのEasergy P5保護リレーの脆弱性を知り、直ちにその解決に取り組みました」と述べた。

Red Balloonの創業者で共同CEOのAng Cui(アング・ツイ)氏は、ランサムウェア攻撃は重要インフラプロバイダーのITネットワークを攻撃しているが、OT組み込み機器の攻撃に成功した場合は「はるかに大きな損害」になるとTechCrunchに語った。

「企業は、組み込み機器そのものへの攻撃から回復することに慣れていませんし、経験もありません」とツイ氏は話す。「デバイスが破壊されたり、回復不可能になった場合、代替デバイスを調達する必要がありますが、供給量に限りがあるため、数週間かかることもあります」。

2021年にIoTメーカーがソフトウェアアップデートを確実かつ安全にデバイスに配信できるようサポートするスタートアップを立ち上げたセキュリティのベテランであるWindow Snyder(ウィンドウ・スナイダー)氏は、特に他の侵入ポイントがより回復力を持つようになると、組み込み機器は簡単にターゲットになる可能性があると話す。

組込み機器に関して、スナイダー氏はTechCrunchに対し「その多くは特権分離がなされておらず、コードとデータの分離もなされておらず、多くはエアギャップ・ネットワーク上に置かれることを想定して開発されたもので、それでは不十分です」と述べた。

Red Balloonの調査によれば、数十年前に製造されたものが多いこれらの機器に組み込まれているセキュリティは改善される必要があり、政府や商業部門のエンドユーザーに対して、これらの機器を製造しているベンダーに対してより高い基準を求めるよう呼びかけている。

「ファームウェアの修正版を発行することは、最もミッションクリティカルな産業やサービスにおける全体的なセキュリティの低さに対処できない、消極的で非効率的なアプローチです」とツイ氏は指摘する。「ベンダーは、組み込み機器のレベルまでセキュリティを高める必要があります」。同氏はまた、米政府が規制レベルでより多くの取り組みを行う必要があり、現在、デバイスレベルでより多くのセキュリティを組み込むインセンティブがないデバイスメーカーに、さらなる圧力をかける必要があると考えている。

しかし、スナイダー氏は、規制主導のアプローチは役に立たないと考えている。「最も有効なのは、攻撃対象領域を減らし、区画化を進めることだと思います。より安全なデバイスを作るために規制をかけることはできないでしょう。誰かが、デバイスに回復力を持たせなければならないのです」と述べた。

画像クレジット:Sean Gallup / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

ロシア当局が悪名高いランサムウェア集団「REvil」を摘発、活動停止に

ロシア連邦保安庁(FSB)は現地時間1月14日、悪名高いランサムウェア集団「REvil」を摘発し、その活動を停止させたと発表した

この前例のない動きは、ロシア国外で活動する他のランサムウェア集団に対するメッセージとなることは間違いなく、ロシア当局はモスクワ、サンクトペテルブルク、リペツクの各地域で、REvilのメンバーとみられる14人が所有する25の建物を家宅捜索した。

2021年7月に活動を停止し、その後、9月に復活に失敗したREvilは、Colonial Pipeline(コロニアル・パイプライン)、JBS Foods(JBSフーズ)、米国のテクノロジー企業Kaseya(カセヤ)を標的とした攻撃など、過去12カ月間で最も被害が大きかった攻撃のいくつかを指揮したとみられている。

関連記事:ランサムウェア犯罪組織「REvil」、そのデータリークブログが乗っ取られて再び姿を消す

FSBは、4億2600万ルーブル(約6億4000万円)超と50万ユーロ(約6500万円)、60万ドル(約6800万円)の現金、暗号資産ウォレット、コンピューター、高級車20台を押収したと発表した。

FSBは声明で、米当局の要請を受けて捜査を行い、その結果は通知された、と述べている。

拘束されたランサムウェアのメンバーは「支払手段の違法な流通」の疑いでロシアの法律に基づいて起訴された。ロシア当局は、容疑者の名前を公表していない。

「FSBとロシア内務省による共同捜査の結果、組織的な犯罪コミュニティは存在しなくなり、犯罪目的に使用されていた情報インフラは無力化された」とFSBは声明で説明している。

今回のサプライズの摘発のニュースは、7月の米国のテクノロジー企業Kaseyaに対するランサムウェア攻撃を指揮したとして、米司法省がランサムウェア集団REvilにつながる22歳のウクライナ人を起訴してからちょうど2カ月後に発表された。また、欧州警察機構(Europol)が調整役を担った作戦により、2021年には他に7人のREvilメンバーも逮捕された。7月にはバイデン大統領がロシアに追従するよう促し、ロシアのVladimir Putin(ウラジーミル・プーチン)大統領にこれらの犯罪組織を崩壊させるための行動をとるよう圧力をかけた。

FSBがとった行動は、1月14日にウクライナの外務省、国家安全保障・防衛評議会、政府閣僚のウェブサイトを含む政府ウェブサイトが大規模なサイバー攻撃でダウンしたわずか数時間後に行われたものでもある。当局者は、結論を出すのは時期尚早だとしながらも、ロシアによるウクライナに対するサイバー攻撃の「長い記録」を指摘した。

画像クレジット:FSB / public

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

北朝鮮が2021年にハッキングした暗号資産は約455億円相当(大量破壊兵器にも利用の疑い)

ブロックチェーン分析会社Chainalysisの報告書によると、北朝鮮のハッカーたちは2021年、暗号資産プラットフォームに少なくとも7件の攻撃を仕掛け、約4億ドル(約455億円)相当のデジタル資産を盗み取っていたという。

「2020年から2021年にかけ、北朝鮮が関係したハッキングは4件から7件に急増し、抜き取った総額は40%増えた」と報告書は述べている。

これらの攻撃は、主に投資会社や集中型取引所を標的にしていた。

報告書によると、ハッカーたちは、フィッシング詐欺、脆弱性をつくコード、マルウェア、高度なソーシャルエンジニアリングなどの複雑な手法を駆使して、インターネットに接続された標的組織の「ホットウォレット」から資産を抜き出し、北朝鮮が管理するアドレスに移していた。

「北朝鮮はいったん資産を握ると、それを隠ぺいして現金化するための慎重なロンダリング(資金洗浄)プロセスを開始した」と報告書は説明している。

2021年に標的となった資金は、イーサリアムが58%、ビットコインが20%を占め、残りの22%はERC-20トークンやアルトコインからだった。

また同報告書は、国連安保理の報告を引用して、北朝鮮はハッキングにより盗み出した資金を使い大量破壊兵器(WMD)や弾道ミサイル関連の開発計画を進めているとしている。

分析レポートによると「Lazarus Group(ラザラス・グループ)」と呼ばれるハッカー集団による攻撃だった可能性が高いとのこと。同グループは、北朝鮮の主要な情報機関、朝鮮人民軍偵察総局(RGB)に所属するとみられている。Lazarus Groupは、これまでにもランサムウェア「WannaCry(ワナクライ)」を使った攻撃や、Sony Pictures Entertainment (ソニー・ピクチャーズエンタテインメント)へのサイバー攻撃に関わった疑いがもたれている。

北朝鮮が盗んだ資金の65%以上は、ミキサー(何千ものアドレスからデジタル資産をプールしてスクランブルをかけるソフトウェアツール)を使ってロンダリングされたという。

また、北朝鮮は、2017年から2021年までの49件のハッキングで得た、1億7000万ドル(約194億円)相当とみられるロンダリングされていない暗号資産も保有している。

「ハッカーたちがなぜこれらの資金を放置しているのかは不明ですが、事件に対する法執行機関の関心が薄れ、監視されずに現金化できるようになることを期待しているのかもしれません。理由が何であれ、北朝鮮がこれらの資金を保有している期間の長さは興味深い点です。自暴自棄で性急な行動ではなく、慎重な計画であることを示唆しているからです」と報告書は述べている。

画像クレジット:RobertAx / Getty Images

原文へ

(文:Kate Park、翻訳:Aya Nakazato)

ランサムウェア攻撃で米国5000校のウェブサイトがオフラインに、コロナ集団感染の通知に障害も

米国各地の学校区にウェブサイトのデザイン、ホスティング、コンテンツ管理のソリューションを提供しているソフトウェアハウスのFinalsiteが、ランサムウェア攻撃を受けた。

先週初め、Finalsiteがホストしているウェブサイトを利用している学区は、サイトにアクセスできなくなったり、エラーが表示されることに気づいた。当初、Finalsiteはこの問題を複数のサービスにおける「パフォーマンス上の問題」としていたが、コネチカット州グラストンベリーを拠点とする同社は、今回の障害がランサムウェアによるものであることを認めた。

「1月4日(火)、当社のチームは、我々の環境の一部のシステム上にランサムウェアが存在することを確認しました」と同社は声明で述べている。「当社は直ちにシステムの安全を確保し、活動を抑制するための措置を講じました。また、第三者のフォレンジック専門家の協力を得て、迅速に調査を開始し、特定のシステムを積極的にオフラインにしました」とも。

Finalsiteの広報担当者であるMorgan Delack(モーガン・デラック)氏がTechCrunchに語ったところによると、同社の全世界の顧客総数8000のうち、カンザスシティ、イリノイ州、ミズーリ州の学区を含む約5000校の顧客が今回のインシデントの影響を受けているとのこと。ウェブサイトの停止に加えて、あるRedditユーザーによると、このインシデントにより、新型コロナ集団感染の発生による休校に関するメール通知を送信できない学校もあったという。

Finalsiteは最新の状況報告の中で「エンドユーザーに表示されるウェブサイトの大部分はオンラインに戻っている」と述べているが、「一部のサイトでは、適切なスタイル、管理者のログイン機能、カレンダーイベント、関係者ディレクトリがまだ欠けている可能性がある」と指摘している。Finalsiteの顧客の1つであるペンシルバニア州のHoly Ghost Preparatory Schoolは、1月7日に、ウェブサイトは復旧したものの、クラス登録フォームと電子メールシステムは依然として利用できないと発表した。

Finalsiteの広報担当者によると、同社は問題に気づいた時点で顧客サイトをオフラインにし、クリーンな環境でシステムを一から再構築したという。「そのため、復旧に時間がかかっています。「マルウェアの問題が原因でサイトがダウンしたのではなく、お客様のデータを保護するために停止したのです」と同担当者は述べている。

攻撃者がどのようにしてFinalsiteのシステムにアクセスしたのかは依然として不明で、攻撃に使用されたランサムウェアの種類もまだわかっていない。同社はTechCrunchに対し、フォレンジック専門家と協力して徹底した調査を続けていると述べている。

同社は、今のところランサムウェアの攻撃によってデータが盗まれたという「証拠はない」としているが、広報担当者は、調査中であることを理由に、Finalsiteがデータの流出を検知するログなどの手段を持っているかどうかについては言及を避けた。

教育機関やそのプロバイダーはパンデミックの発生以降、多くの学校区がオンラインでの遠隔授業に移行したことから、狙われやすい攻撃対象となっている。例として、2021年9月には、ワシントンD.C.のハワード大学がランサムウェア攻撃を受け、授業の中止を余儀なくされた。

画像クレジット:Olivier Douliery / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

ランサムウェアの潮目が変わった、米国当局が勝ち目のないと思われた戦いにわずかながら勝利を収めた

2021年はランサムウェアが蔓延した。2021年には、ITソフトウェア企業Kaseyaへの攻撃で1500社がオフラインにされ、CD Projekt Redのハックでは、Cyberpunk 2077やThe Witcher 3などのゲームのソースコードがやられた。大手有名企業も被害を受け、その中にはオリンパス富士フイルム、そしてパナソニックが含まれている。

また2021年は、ハッカーが重要なインフラストラクチャを攻撃して世界的な注目を集め、被害者の中には米国の石油パイプラインColonial Pipelineや、食肉加工大手JBS、農家がコーンや大豆などを売るための協同組合Iowa New Cooperativeなども含まれる。

これらの犯行でプラットフォームの閉鎖が長引き、石油価格が高騰し、食糧不足の危険も生じたため、数年間何もしなかった米国政府もやっと腰を上げ、かつては勝てないと思われていたランサムウェアという疫病に対する戦いで、わずかながらも勝利を収めた。

最初は4月に米司法省が、Ransomware and Digital Extortion Task Force(ランサムウェアとデジタル強奪対策本部)を立ち上げた。司法省によると、ランサムウェア犯行の最悪の年と呼ぶ事態に同省が対応した動きで「ランサムウェアとデジタル強盗の壊滅と捜査と訴追」を最大の目的としている。そしてそれから2カ月後に司法省は、ラトビア国籍で55歳のAlla Witte(アラ・ウィッテ)を逮捕し、国際的サイバー犯罪組織で演じた役割で彼女を告訴した。銀行を狙った、よく知られ広く使われているトロイの木馬とランサムウェアツールTrickBotの背後にいるのが、その犯罪組織だ。

その数日後にはもっと大きな勝利がやってきて、司法省は、Colonial PipelineがランサムウェアギャングのDarkSideにビットコインで払った230万ドル(約2億7000万円)を押収し、データを取り戻したと発表した。その後、米国政府はその悪名高いランサムウェアグループのリーダーたちの発見や追跡の役に立つ情報の提供者に対する、最大で1000万ドル(約11億5000万円)の賞金を提示した。

同じころ米財務省は、暗号資産の取引所Chatexに対し、身代金の取引に便宜を図ったとして制裁を発表した。その数週間前にも財務省は、暗号資産取引所Suexに対して同様の措置を講じている。

司法省対策本部の最大の勝利は10月に訪れ、悪名高いランサムウェアギャングREvilを壊滅させた。検察の発表では、22歳のウクライナ人が、7月にKaseyaに対するランサムウェア攻撃を仕かけたギャングと関係があるとして訴追されている。司法省は、その悪名高いランサムウェアグループのもう1人のメンバーに結びついている600万ドル(約6億9000万円)の身代金を押収したという。

ランサムウェアグループを追う米国政府の2021年の取り組みは、多方面から称賛されている。特に評価が高いのは、金の行方を追うというその戦術だ。ブロックチェーンの取引を分析するソフトウェアを提供しているChainalysisは、司法省の対Suex作戦を、ランサムウェアの犯人たちに対する「大きな勝利」と称賛し、TechCrunchの取材に対して、ランサムウェアのグループが彼らの暗号資産を現金化する仕組みを解明して無効化すれば、彼らを弱体化する特効薬になるという。SentinelOneのチーフセキュリティアドバイザーであるMorgan Wright(モーガン・ライト)氏は、金という彼らのメインの動機がなくならないかぎり、ランサムウェアギャングたちの犯行と拡大は続くと述べている。

「規則や法律に従わないため、犯人たちの方は常に有利な状況にあります。しかし、現金を手に入れるという最終的な目標を達成する前にランサムウェアギャングの力を削ぐ、強力なアプローチが2つあります。身代金として暗号資産を使う能力を奪い、マシンスピードの犯行に対してはマシンスピードで応ずることだ」とライト氏はいう。

米国政府はまた、DarkSideの1000万ドルの賞金やREvilに関する情報への賞金にも見られたように、ランサムウェアの犯行手口に関する情報に報奨金を提供している。BreachQuestのCTOであるJake Williams(ジェイク・ウィリアムズ)氏は「賞金額がこれだけ大きければ、犯人たちの寝返りが続くことも考えられます。ランサムウェア・アズ・ア・サービス(RaaS)のアフィリエイトモデルへの信頼が損なわれる」と述べている。

しかし一部の人たちは、政府の行動で弱気になる者もいるかもしれないが、相変わらず金銭的な利益を追い続けているランサムウェアギャングたちのやる気を抑えることはできないと信じている。

ITセキュリティ企業QualysのJonathan Trull(ジョナサン・トラル)氏は「ランサムウェアの犯人たちに正義の鉄槌を下そうとする司法省の努力は称賛するが、逮捕拘禁されない可能性と、これらの犯行グループが作り出す巨額の金を比べると、断然後者は魅力的なものだ。残念ながらランサムウェアに対する戦いは非対称であり、膨大で複雑な捜査を扱うためにグローバルに必要となるリソースの量に、法執行機関の現状はまだ達していない」という。

ライト氏は同意し、これまでの米国政府の活動にあまり満足していないのは、次のような点となる。「これまで2人を逮捕して数百万ドル(数億円)を取り戻したが、それはランサムウェアに対する勝利ではない。それはむしろ、ランサムウェアに対して何かやったぞと誇示するための、政治的な声明だ。すでに失われた数十億ドル(数千億円)に対して、230万ドルは誤差にもならない」。

同様に、多くの人が、これらの戦術は新年以降におけるランサムウェアの脅威の成長を抑えるほど強力ではない思っている。特に悪者たちは、適応力がある。エキスパートたちによると、ランサムウェア・アズ・ア・サービスのモデルは、首謀者が自分のランサムウェアのインフラストラクチャを他人に貸して、得られた身代金の分け前をもらう。このモデルは2022年にも盛り上がり、法執行機関が首謀者を追うのもより困難になる。

何段階にも及ぶ犯行連鎖を予想する人たちもいる。フィッシングからスタートしたデータ侵犯がデータ窃盗になり、最後にランサムウェアになる。並行してそれは、ますます多くの犯人が手がける、流行のようなものになる。それによって、防護の厳しいネットワークインフラストラクチャでも、ハッカーは侵入できるようになる。

上記の後者の問題により、米国政府は2022年に民間部門との協力を密接にせざるをえなくなる、とトラル氏はいう。「法執行機関だけでは、潮流を逆転するのは無理だろうと私は思います。必要なのは法執行の複数のアクションがセットになって専門家と協力し、システムを強化し、重要なデータとシステムのバックアップを開発してその運用可能状態を常時維持し、さらにまた民間部門からの有効な反応も得られるようにしておくことです」とトラル氏はいう。

もっと多くのアクションが必要なことは明らかだが、米国政府は進歩している。ほんのひと握りの立件を軽視する人たちもいるが、しかしそれはインパクトを与えた。特に、ランサムウェアのグループがパートナーを獲得するための広告活動が被害を受けた。いろいろなところが注意するようになったため、一部の人気の高いハッキングのフォーラムではランサムウェアが禁じられ、あるハッキンググループは偽の会社を作って何も知らないITスペシャリストたちに訴求し、お金になる産業であるランサムウェア産業の継続的拡大に寄与させようとしている。

ランサムウェアのエキスパートでEmsisoftの脅威アナリストであるBrett Callow(ブレット・キャロウ)氏は「一部のサイバー犯罪フォーラムではランサムウェアグループが以前ほど歓迎されなくなっている」という。

関連記事:2021年に知ることになったサイバーセキュリティの6つのポイント

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

2021年に知ることになったサイバーセキュリティの6つのポイント

この12カ月間におけるサイバーセキュリティは、暴れ馬のようだった。サイバーセキュリティで何もかもが壊れ、あとはそのことを認めるだけとなり、そして今年、2021年は、特に年末にかけて何もかもが一度に壊れた。しかし、何はともあれ、私たちはこれまで以上に多くのことを知り、この年を終えることになる。

この1年で、私たちは何を学んだのだろうか。

1.ランサムウェアの被害で大きいのはダウンタイムであり身代金ではない

ファイルを暗号化するマルウェアの被害が続いている。2021年だけでもランサムウェアは町全体にオフラインを強いることになり、給与の支払いをブロックし、燃料不足を招いた。企業のネットワークの全体が、数百万ドル(数億円)の暗号資産と引き換えに人質に取られたからだ。米財務省の推計では、ランサムウェアの2021年の被害額は、これまでの10年を合わせた金額よりも多い。しかし研究者たちによると、企業の被害の大半は、生産性の落ち込みと被害後の困難な後始末作業によるものだ。後者には、インシデント対応や法的サポートも含まれる。

関連記事:ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

2.FTCはモバイルのスパイウェアメーカーに被害者の通知を命じることができる

SpyFoneは、2021年9月の連邦取引委員会(FTC)からの命令により米国で禁止される初めてのスパイウェアになった。FTCはこの「ストーカーウェア」アプリのメーカーを、人目につかない秘かなマルウェアを開発し、ストーカーや米国ないの悪意を持つ者が、被害者のスマートフォンのメッセージや位置情報の履歴などを知られることなくリアルタイムでアクセスできるようにしたと訴えた。さらにFTCはSpyFoneに、同社が不法に集めたデータをすべて削除し、同社のソフトウェアによってスマートフォンをハックされた人たちに通知することを命じている。

関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令

3.サイバーセキュリティへのVCの投資は2020年に比べて倍増

2021年はサイバーセキュリティへのVCの投資が、記録破りの年だった。8月には、投資家たちが2021年の前半に115億ドル(約1兆3242億円)のベンチャー資金を投じたことが明らかとなっている。これは2020年の同時期に投じられた47億ドル(約5412億円)の倍以上の額となる。最大の調達はTransmit Securityの5億4300万ドル(約625億円)のシリーズAと、Laceworkの5億2500万ドル(約605億円)のシリーズDだった。投資家たちは、クラウドコンピューティングとセキュリティのコンサルティング、およびリスクとコンプライアンス方面の好調が投資に火をつけたという。

関連記事
パスワードのない世界を目指すTransmit Securityがサイバーセキュリティ史上最大のシリーズAで約601億円調達
クラウドセキュリティのLaceworkが2年連続収益300%増で約545.7億円のシリーズD投資調達

ハイテク企業がユーザーデータの最大の保有者であることは周知の事実であり、意外にも、犯罪捜査のための情報を求める政府のデータ要求の頻繁な対象になっている。しかし、Microsoftは2021年、政府が検索令状に秘密命令を添付する傾向が強まっていることを警告し、ユーザーのデータが調査の対象となる時期をユーザーに通知しないようにしている。

関連記事:米政府による顧客データ要求の3分の1が秘密保持命令をともなう、マイクロソフト幹部が乱用に警鐘

Microsoftによると、法的命令の3分の1は秘密保持条項付きで、その多くは「意味のある法的分析や事実分析に裏づけられていない」と、同社の顧客セキュリティー・トラストの責任者Tom Burt(トム・バート)氏はいう。Microsoftは、秘密保持命令は技術産業全体に蔓延していると述べている。

5.FBIはサイバー攻撃の後処理の一環として、プライベートネットワークへのハッキングを許される

2021年4月にFBIは、この種の操作としては初めてハッカーが数週間前に放置した米国の数百に及ぶ企業のメールサーバーにあるバックドアの削除を開始した。MicrosoftのメールソフトウェアであるExchangeの脆弱性を大規模に悪用して、ハッカーが米国全域の何千ものメールサーバーを攻撃し、連絡先リストと受信箱を盗んだ。非難されているのは中国だ。その犯行により数千のサーバーが脆弱性を抱えたままであり、企業は緊急に欠陥を修復すべきだが、しかしパッチは残されたバックドアを削除しないので、ハッカーが戻ってきて容易にアクセスを取得できる。

関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

テキサス州の連邦裁判所が操作を許可し、FBIはハッカーが使ったのと同じ脆弱性を利用してバックドアを削除した。裁判所による操作許可の根拠は、今後の再犯への恐れだ。それにより、悪人たちによる今後の悪用を防いだ。同様の「ハックとパッチ」操作でボットネットを駆除した国は他にもあるが、サイバー攻撃の後でFBIがプライベートネットワークを効果的に掃除したのは、知られているかぎり、これが初めてだ。

6.詐欺師たちが自動車保険のサイトを襲って失業手当を詐取

2021年は複数の保険企業が、ありえないがますます普通になってきた詐欺のターゲットになった。Metromileによると、保険の見積もりを保存する同社のウェブサイトにバグがあり、運転免許証の番号が盗まれた。そして数カ月後には、Geicoもターゲットになり、同じく運転免許証の番号を盗み取られている。

関連記事
米自動車保険スタートアップMetromileがウェブサイトに侵入者が運転免許証番号を取得できるバグがあったと報告
米国2位の自動車保険大手Geicoが数カ月にわたりウェブサイトから運転免許証番号を盗まれていたと認める

Geicoのデータ侵犯報告は、盗んだ免許証番号を使って、ユーザーの名前で「失業手当を申請した」詐欺師たちを非難した。米国の多くの州では、州の失業手当を申請する前に運転免許証を必要となる。自動車保険会社ならその番号がわかるので、ターゲットにされたのだ。

画像クレジット:Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

グーグルが100万台のWindowsマシンに感染したロシアのボットネットを破壊

Googleが2人のロシア人を、高度なボットネットを使って世界中の100万以上のWindowsマシンに侵入したとして訴えている。

ニューヨーク南部地区米国地裁に提出された訴状で、Googleはロシア国籍のDmitry Starovikov(ドミトリー・スタロヴィコフ)氏とAlexander Filippov(アレクセイ・フィリポフ)氏の2人をGluptebaボットネットの主な運用者としている。そのGmailとGoogle Workspaceのアカウントは、彼らの犯行計画のために作られたとGoogleは主張している。

Googleの主張では、被告たちはボットネットのネットワークを使って「現代的で国境のない組織犯罪集団を構成」し、Googleユーザーのログイン情報やアカウント情報を盗み、それらを無認証で使用するなど不法な目的に利用した。訴えは両人による損害賠償金の支払いと、Googleのサービスの永久使用禁止を求めている。

Googleは2020年からGluptebaを追っているが、同社によると、これまで世界中のおよそ100万のWindowsマシンに感染し、現在でも1日に数千台のペースで広がり続けている。その主な手口は、ユーザーを騙してサードパーティーの「無料ダウンロードサイト」からマルウェアをダウンロードさせるものだ。するとボットネットはユーザーの認証情報やデータを盗み、秘かに暗号資産の採掘をしたり、プロキシをセットアップして他の人のインターネットトラフィックを感染したマシンやルーターに取り込んだりする。

「いかなるときでも、Gluptebaボットネットは強力なランサムウェア攻撃やDDOS攻撃に利用される可能性がある」とGoogleは訴状にある。

そして同社は、Gluptebaボットネットは、ブロックチェーンを利用して自分が妨害されることを防ぐなど「技術的に高度」なので、従来型のボットネットとの違いが際立つ、ともいう。

Gluptebaボットネットに対する訴訟に加えてGoogleのThreat Analysis Group(TAG、脅威分析グループ)は、ボットネットが米国とインドとブラジル、ベトナム、そして東南アジアの被害者を狙っていることを突き止め、インターネットホスティングプロバイダーたちと協力して、ボットネットの基幹であるコマンドとコントロール(C2)のインフラストラクチャを破壊したと発表した。これにより犯行者はボットネットをコントロールできなくなるが、しかしGluptebaは自己回復の仕組みとしてブロックチェーンの技術を使っているから復帰のおそれがある、とGoogleは警告している。

「Gluptebaボットネットは、従来のボットネットのように既存のウェブドメインだけを使ってその生存を確保しようとはしません。むしろ、ボットネットのC2サーバーが妨害されるとGluptebaのマルウェアは、Glupteba Enterpriseがコントロールしている3つの特定のBitcoinアドレスをはじめとして、公開されているBitcoinブロックチェーンを『探す』ようハードコードされており、それらとのトランザクションを行います。したがってそのブロックチェーンベースのインフラストラクチャを無効にしないかぎり、Gluptebaボットネットを完全に根絶することはできません」とGoogleの訴状にはある。

Googleがボットネットの犯行に対抗するのはこれが初めてだが、それが行われた日は、米国と他の28カ国の政府や人権団体を狙う、中国に支援されたハッカーたちが使っていた悪質なウェブサイトのコントロールを奪ったことを、Microsoftが公表した日の翌日だ。

関連記事:マイクロソフトが中国が支援するハッカーたちのウェブサイトを掌握

画像クレジット:Bryce Durbin/TechCrunch

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

パナソニックがハッカーによる社内ネットワークへのアクセスでデータ流出を確認

日本のテック大手Panasonic(パナソニック)は、社内ネットワークへのハッカーのアクセスによるデータ流出を確認した。

パナソニックは11月26日付のプレスリリースで、11月11日に同社のネットワークが「第三者によって不正にアクセス」され「侵入時にファイルサーバー上の一部のデータにアクセスされた」と発表した。しかし、パナソニックの広報担当者Dannea DeLisser(ダンネア・デリサー)氏は、この侵入が6月22日に始まり、11月3日に終了したこと、そして不正アクセスが最初に検出されたのは11月11日であったことを認めた。

大阪に本社を置くパナソニックは、データ流出についてその他の情報をほとんど提供していない。同社のプレスリリースによると、同社は独自の調査に加えて「現在、専門の第三者機関と協力して、漏洩に顧客の個人情報および(あるいは)社会インフラに関連する機密情報が含まれているかどうかを確認中」だ。

「当社は、不正アクセスを発見した後、直ちに関係当局に報告するとともに、ネットワークへの外部からのアクセスを防止するなどのセキュリティ対策を実施しました。今回の事件によりご心配とご迷惑をおかけしたことを心よりお詫び申し上げます」。

今回のデータ流出のニュースは、パナソニックインドがランサムウェアの攻撃を受け、ハッカーが財務情報や電子メールアドレスを含む4ギガバイトのデータを流出させてから1年も経っていない中でのものだ。また、日本のテクノロジー企業を狙ったサイバー攻撃が相次いでいる中でのものでもある。NECと三菱電機は2020年にハッキングに遭い、オリンパスは最近、ランサムウェアBlackMatterの攻撃を受け、欧州・中東・アフリカ地域での事業停止を余儀なくされた

関連記事:オリンパスがランサムウェア「BlackMatter」の攻撃を受ける

画像クレジット: Sean Gallup / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

ローコード / ノーコードアプリの安全性確保を支援するZenityが約5.8億円調達

基幹業務のアプリケーションの構築にローコード / ノーコードのツールを採用する企業が増えており、そのエコシステム内にツールのセキュリティにフォーカスした新たなサービスが登場しているのも当然かもしれない。テルアビブのZenityはそんな企業の1つで、同社は現地時間11月23日、ステルスを抜けて500万ドル(約5億8000万円)のシードラウンドを発表している。そのラウンドはVertex VenturesとUpWestがリードし、GoogleのCISOだったGerhard Eschelbeck(ゲルハルト・エッシェルベック)氏や、SuccessFactorsのCIOだったTom Fisher(トム・フィッシャー)氏といった多くのエンジェル投資家が参加している。

Zenityによると、従業員たちが自分でアプリケーションを作るようになり、RPA(ロボットによる業務自動化)などのツールを採用するようになると、新たなアプリが、ハッキング行為やランサムウェアなどに対して、これまでなかったようなドアを開いてしまうこともある。

Zenityの共同創業者でCEOのBen Kliger(ベン・クリガー)氏は、このような状況について「企業は現在、大々的にローコード / ノーコードを採用していますが、そのリスクやリスクに対して自分たちが共有すべき責任について理解していません。弊社はCIOやCISOたちをサポートし、彼らがローコード / ノーコードアプリケーションをシームレスに統括できるようにし、不意のデータ漏洩や事業への妨害、コンプライアンスのリスク、悪質な侵害などを防ぐ」と述べている。

Zenityのプラットフォームは、企業にその組織内のローコード / ノーコードアプリケーションのカタログを作らせ、問題の可能性を減らし、彼らの組織のための自動的に施行できるガバナンスのポリシーをセットアップする。同社によると、従来的なセキュリティサービスの方法はローコード / ノーコードのアプリケーションに適用できないにもかかわらず、そんなツールへのニーズだけが独り歩きで増えている。しかもそれを使っているデベロッパーにセキュリティの経験や知識がない。中にはソフトウェア開発の経験知識のないデベロッパーもローコード / ノーコードの世界にはいるだろうという。

画像クレジット:Zenity

同社はCEOのクリガー氏とCTOのMichael Bargury(マイケル・バーガリー)氏が創業した。2人とも、それまではAzureに在籍し、Microsoftのクラウドセキュリティチームで仕事をしていた。

Zenityのアドバイザーで元OracleとQualcommのCIO、そしてeBayのCTOでもあるTom Fisher(トム・フィッシャー)氏は次のように述べている。「ビジネスを邪魔せずローコード / ノーコードのソリューションにありがちなリスクとセキュリティの脅威を減らすことが難題です。Zenityには、ガバナンスとセキュリティツールの完璧な組み合わせと、ビジネスに対するプロのアプローチが備わっているため、企業のデベロッパーは安心してともにセキュリティを構築できます」。

画像クレジット:Zenity

[原文]

(文:Frederic Lardinois、翻訳:Hiroshi Iwatani)

イスラエル発Cybellum奥田正和氏が語る「コネクテッドカーのセキュリティ」の今

2018年からの1年間でコネクテッドカーに対するサイバー攻撃が倍増した。イスラエル発のサイバーセキュリティ企業、Cybellum(サイべラム)で日本カントリーマネージャーを務める奥田正和氏は「コネクテッドカーのセキュリティは喫緊の課題ですが、対処していくスピードを上げる必要があります」と語る。コネクテッドカーが抱えるリスクとは何か。安全性はどう守られるべきなのか。同氏に詳しく話を聞いた。

コネクテッドカーのサイバーセキュリティとは

コネクテッドカーには数多くのソフトウェアが使用されている。そのため、ソフトウェアのセキュリティを守ることが重要になる。

奥田氏は「ソフトウェアの守り方は色々あります。ファイアウォールなど、防御の壁を増やすようなアプローチもありますが、ソフトウェアそのものにバグや脆弱性があったのでは、壁を足すだけでは守りきれません。そこで当社はコネクテッドカーの中のソフトウェアをスキャンし、脆弱性を見つけるツールを提供しています」と話す。

Cybellum プロダクト・セキュリティ・アセスメントのインターフェース

同氏によると、担当エンジニアは多くの場合「堅牢なソフトウェアはどんなものか」「ハッカーに攻撃される脆弱性はどんなものか」を理解しており、対応方法もわかっているという。問題は、コネクテッドカーに搭載されるソフトウェアの数が多く、すべての脆弱性に対応しきれないことなのだ。

専門家が脆弱性を発見した際、発見した脆弱性を登録するCommon Vulnerabilities and Exposures (CVE)、National Vulnerability Database(NVD)などのデータベースがある。こうした場所には年間2〜3万件の新規脆弱性が報告される。

奥田氏は「このペースで脆弱性が見つかるので、どこかの会社がソフトウェアを出したら、規模にもよりますが数カ月で数十件程度の脆弱性が見つかります。ハッカーたちは公表された脆弱性を使った攻撃も仕かけてきます。一方で、ソフトウェアには『未発見、未公表のすでに存在している脆弱性』もあります。また、1つの脆弱性を直すには数カ月〜数年かかることもあります。新しい脆弱性も後から出てきます。『脆弱性ゼロ』の日はありません。ソフトウェア提供企業は公表された脆弱性に優先的に対応しつつ、未公表の脆弱性にも対応していかなくてはなりません」と話す。

理想的には、開発段階から脆弱性データベースを参考に脆弱性が混入しないよう開発を進め、製品が出荷されてからもデータベースを見続け、公表された脆弱性が製品に該当しないかをチェックし続けることが望ましいという。

自動車サイバーセキュリティ規制

開発段階と自動車のライフタイム(開発以降のあらゆる時期)を通した脆弱性対策は、自動車サイバーセキュリティ規制(UNECE WP.29 R155)でも定められている。これは、国連欧州経済委員会の作業部会である自動車基準調和世界フォーラム(WP29)が策定したものだ。

奥田氏は「この規制で重要なのは、『自動車のサイバーセキュリティを担保する社内プロセスを保持すること』です。これを企業目線で具体的に落とし込むと、サイバーセキュリティの専門チームや専任者を設置する、開発プロセスとレビュープロセスを策定する、出荷後も脆弱性を監視し続ける、ということになります。組織とプロセスが全体的に規制されるのです」と説明。

自動車サイバーセキュリティ規制は、自動車における「安全性」の概念の変化も反映している。自動車はもはや「安全性を担保して出荷すれば良い物」ではない。自動車メーカーは企画・開発・生産から廃棄までセキュリティを監視しなければならないのだ。

さらに、この規制のステークホルダーは最終生産メーカーを筆頭に、部品メーカーやベンダーなど、サプライチェーン全体におよび、規制に対する対応の有無の説明責任は最終生産メーカーが負う。

セキュリティはコストなのか

自動車サイバーセキュリティ規制は、自動車のセキュリティをライフタイム全般にわたり担保するもので、ユーザーの利益になるものだ。だが、自動車メーカー側の負担は大きくないだろうか。

「その側面は否定できません。運転支援機能や自動運転機能のように、先端技術を追加して安全性を高めても、セキュリティ対策に関しては今はそうした付加価値を値段に転嫁しにくい状況です。『最先端のセキュリティに対応しているので、このクルマは10万円高くなります』というのは難しいのではないでしょうか」と奥田氏。

しかし、十分なセキュリティ対策を行わず、自動車がサイバー攻撃に遭い、損失や危険な事象が発生した場合、自動車メーカーの評判は落ちてしまう。

奥田氏は「攻撃が発生すれば『セキュリティをしっかりしておいてよかった』という話になりますが、そうでない時にはセキュリティはコストに見えてしまいます」とセキュリティの重要性を指摘する。

コネクテッドカー向けセキュリティの差別化

では、自動車メーカーはソフトウェアの脆弱性をどう発見すれば良いのか。

「多くの脆弱性はソースコードの中にあるので、エンジニアが集まってコードをレビューすれば、脆弱性を見つけることは可能です。ですが、今日の激増するソフトウェア量を考えるとこのやり方は非現実的です。実際には、当社が提供しているような、製品に組み込まれているソフトウェアコンポーネント群をスキャンし、脆弱性を見つけるサービスを活用して効率化を目指すのが望ましいです」と奥田氏。

しかし、ソフトウェアをスキャンするサービスならなんでもいいというわけではない。

奥田氏は「現在、多くのIT企業がソフトウェアチェッカーを提供しています。ですが、自動車の組み込みソフトウェアに十分に対応しているものはほんの一部です。組み込みソフトウェアは必ずしもサーバやPC上で動くものではないので、自動車用ではないソフトウェアチェッカーは、自動車のソフトウェアチェックに対応できない部分も多いのです」と力説する。

では、こうした企業はどうやって差別化しているのだろうか。

奥田氏によると、現在、自動車向けソフトウェアチェッカーを提供している主要な企業は、基本的に類似した技術を提供しており、差別化要素の1つが対応している半導体の種類、OSなどだそうだ。

また、ソフトウェアは使用される製品によって構造が変わってくる。そのため、ソフトウェアチェッカー提供企業の得手不得手も分野によって現れるという。

自動車業界のソフトウェア活用では、ソースコードとバイナリコードという観点も重要だ。ソースコードは、プログラミング言語で書かれたコンピュータプログラムで「どんな動作をさせたいか」を表現する。機械はソースコードをそのまま実行できないため、ソースコードは機械が読み込むことができるバイナリコードに変換される。

奥田氏は「自動車の最終生産メーカーがすべてのソースコードを保持していることは非常に稀です。自動車はサプライヤーから集めてきた多様なパーツで成り立つため、各部のソースコードが最終メーカーの手元にすべて届くとは限らないのです。むしろソースコードが送られてこない方が普通かもしれません」と話す。

しかし、最終メーカーの手元には、自動車の全体統制のために必要な全体のバイナリコードがある。そのため、実際にスキャンできるのは、バイナリコードになる。自動車のソフトウェアをスキャンするには、バイナリコードのスキャン技術と精度が重要になる。

奥田氏は「当社はバイナリコードのスキャンに対応していますが、ソースコードにしか対応していない企業もあります。バイナリコード対応の有無も差別化のポイントになりますね」と補足した。

対策すべきリスク

Uswitchの調査によると、2018年から2019年にかけてコネクテッドカーに対するサイバー攻撃が99%増加した。奥田氏はこれをどう見るのか。

「コネクテッドカーへの攻撃は、危惧されていたよりは増加していないと考えています。『実現可能な攻撃』に関する議論が活発化していますが、『実現可能な攻撃』と『実際に生じる攻撃』は別物です」と奥田氏。「『実際に生じる攻撃』は金銭的利益が発生するところで起こります。そのため、車載コンテンツ配信システムや、移動情報から得るドライバーの個人情報は狙われやすいでしょう。また、それを使ったランサムウェア攻撃もあり得ます。逆にいうと、コネクテッドカーを攻撃して、ドライバーを殺傷するようなことは金銭的利益があまり見込めないので、起こりにくいと考えられます」と話す。

コネクテッドカーを狙ったランサムウェア攻撃は誰に起こり得るのか。奥田氏はトラック運送会社など、コネクテッドカーを事業で利用している企業や組織が狙われるとみている。会社のコネクテッドカーが攻撃によりロックされてしまうと、一時的に売り上げが立てられなくなる。それなら身代金を払って一刻も早く自社のコネクテッドカーを仕事に回した方が良い、と決断する企業が出てきても不思議ではない。

奥田氏は「損失が身代金より大きいなら、払う方が良い、と考える企業はあるでしょう。今危惧されているのはこういった攻撃です」と話す。

コネクテッドカーは情報の宝庫だ。ドライバーの個人情報、家族の情報、移動情報などが蓄積される。これらの情報はそのまま売ることもできるし、銀行システムの攻撃にも悪用できる。

「自動車メーカーからすると、自社製品のセキュリティが破られたら、自社の評判が落ちます。また、過失が認められれば訴訟にも発展するかもしれません」と奥田氏は補足する。

とはいえ今のところ、コネクテッドカーのセキュリティの重要性の認知は、自動車メーカーやその周辺のエコシステムに限られており、一般の自動車ユーザーの間にはあまり浸透していない。そのため「この車はセキュリティ対策が優れています」というアピールが魅力的に映らない。

奥田氏は「自動車ユーザーのみなさんにセキュリティの大切さをお伝えできれば、車の魅力としてセキュリティをアピールすることもできます。ドライバーのみなさんを守るためにも、セキュリティ理解の促進は重要な課題です」と話した。