タグ: ランサムウェア（用語）

ランサムウェアグループ「REvil（レヴィル）」の主要メンバーの1人とされる人物が逮捕され、米国で裁きを受けるためにテキサス州に引き渡された。この人物は、IT管理ソフトウェアを提供するKaseya（カセヤ）にサイバー攻撃を仕かけ、同社の数千もの顧客のネットワークを暗号化した犯罪の実行犯である疑いがあると、連邦当局は述べている。

この22歳のウクライナ人、Yaroslav Vasinskyi（ヤロスラフ・ヴァシンスキー）容疑者は、現地時間10月8日にポーランドで逮捕された。8月に提出された起訴状によると、同容疑者はコンピュータハッキングと詐欺の疑いで告発されており、今週ダラスの連邦裁判所に喚問され引き渡されるまで拘束されていた。

一時期、別名Sodinokibi（ソディノキビ）とも呼ばれるサイバーギャング組織のREvilは、最も活発で多くの犯罪を行っているランサムウェアグループの1つだった。同グループは、しばしば被害者のコンピューターを暗号化し、高額な身代金を要求することがある。このロシア語を話すランサムウェア・アズ・ア・サービスの手口は、身代金として企業の利益の一部を受け取る代わりに、暗号化を解除するためのインフラへのアクセスを貸し出すというものだ。

このグループは出現以来、食肉加工工場のJBSに攻撃を仕掛けて食糧生産に遅れを生じさせたり、パソコンメーカーのAcer（エイサー）やエネルギー大手のInvenergy（インベナジー）などの企業のデータベースに侵入して個人情報を流出させた。

しかし、最も注目を集めたのは、ITおよびネットワーク管理ソフトウェア会社のKaseyaに対する攻撃だ。REvilのランサムウェアは、同社のソフトウェアを使用する顧客のネットワークで下流に向けて拡散し、数千の企業が影響を受けたとされる。そこで米国政府は、このハッカーを裁くための情報を求めて、1000万ドル（約11億7000万円）の懸賞金を打ち出すことになった。

Kaseyaの攻撃から数週間後、同社は世界共通の復号キーを入手し、顧客が数百万ドル（数億円）相当の身代金を支払わずともシステムのロックを解除できるようにした。The Washington Post（ワシントン・ポスト紙）によると、FBIは密かにキーを入手し、Kaseyaの攻撃で非難された後、しばらくしてインターネットから姿を消したハッカーの取り押さえを計画していたが、それは実現しなかったという。

10月までに米国政府は、この犯罪グループをオフラインに追い込む多国籍の取り組みを行っていたことを明らかにした。その後、ルーマニアとロシアの法執行機関がメンバーを逮捕し、グループはほぼ解体され、数百万ドルの現金と暗号資産が押収された。

「海外からKaseyaへのランサムウェア攻撃を行ったとみられる時からわずか8カ月後、この被告人は裁きを受けるためにダラスの法廷に到着しました」と、米国司法長官代理のLisa Monaco（リサ・モナコ）氏は声明で述べている。「私たちは攻撃されたら、国内外のパートナーと協力し、サイバー犯罪者がどこにいようと追い求めます」。

ヴァシンスキー容疑者は、Kaseyaの攻撃に関連して米国検察当局によって起訴されたREvilのメンバーとされる2人のうちの1人で、もう1人は28歳のロシア人、Yevgeniy Polyanin（エフゲニー・ポリアニン）である。

ヴァシンスキー容疑者は、有罪判決を受けた場合、100年以上の懲役刑が科せられる。

画像クレジット：Bryce Durbin / TechCrunch

［原文へ］

（文：Zack Whittaker、翻訳：Hirokazu Kusakabe）

ランサムウェアグループConti（コンティ）のチャットログのキャッシュが、ロシアのウクライナ侵攻を支持するグループに異議を唱えると主張している内部関係者らによって、オンライン上に流出した。

情報は、マルウェアのサンプルやデータを収集するマルウェア研究グループであるVX-Undergroundに共有された。流出したデータセットには、Contiグループの母国語であるロシア語での数万件の内部チャットログを含む約400のファイルがある。このファイルには、2020年半ばにグループが初めて結成されてから約半年後の2021年1月までさかのぼる約1年分のメッセージが保存されている。

ランサムウェアの専門家は、グループの内部運営についてより詳しく知るために、すでにこのファイルに目を通している。セキュリティ研究者のBill Demirkapi（ビル・デミルカピ）氏はファイルを英語に翻訳した。

「ウクライナに栄光あれ」と、リーク者はメッセージで述べている。

Conti ransomware group previously put out a message siding with the Russian government.

Today a Conti member has begun leaking data with the message "Fuck the Russian government, Glory to Ukraine!"

You can download the leaked Conti data here: https://t.co/BDzHQU5mgw pic.twitter.com/AL7BXnihza

— vx-underground (@vxunderground) February 27, 2022

Contiはランサムウェア・アズ・ア・サービス（RaaS）グループで、関連機関はContiのインフラへのアクセスを借りて攻撃を仕掛けることができる。専門家によると、Contiはロシアを拠点としており、ロシアの諜報機関とつながりがある可能性があるという。

今週初めにContiは、ロイターが最初に報じ、TechCrunchも確認したブログ投稿の中で、ロシアの隣国ウクライナへの侵攻を「完全に支持している」と述べ、ロシアがサイバー攻撃や軍事攻撃を受けたら、重要インフラに報復すると宣言した。更新された投稿では、同グループはどの政府とも手を結んでいないと主張したが、改めてこう述べた。「平和な市民の幸福と安全がアメリカのサイバー攻撃のために危険にさらされる場合、反撃するために我々のリソースを使用する」。

Contiは、Fat Face（ファットフェイス）やShutterfly（シャッターフライ）など数十の企業、そして緊急通報センターや救急隊ネットワークなどの重要インフラを標的としたランサムウェア攻撃で非難されてきた。2021年5月には、Contiはアイルランドの医療サービスのネットワークを攻撃し、これによりアイルランドはITシステムの全国的な停止を余儀なくされ、国中で深刻な遅延が発生し、復旧するのに1億ドル（約115億円）超かかった。

クラウドソーシングによるランサムウェア追跡サイトのRansomwareによると、Contiはこれまでに3010万ドル（約34億円）超の身代金を回収した。

「今回の情報流出は、Contiにとって大きな痛手です。同社の関連会社やその他の関係者が、Contiのオペレーションに対する信頼をなくしただけではありません」と、Emsisoftのランサムウェア専門家で脅威アナリストのBrett Callow（ブレット・カロウ）氏は述べた。「彼らは間違いなく、作戦がいつ危険にさらされたのか、法執行機関は関与しているのか、そして自分たちにつながる手がかりがあるのか、と考えていることでしょう」。

「多くのRaaSオペレーションは、ロシアに拠点を置くものを含め、ウクライナとつながりがあります。従って、作戦の内部を知る人物を怒らせる危険があるため、作戦を公にするのは戦術的には失敗です」とカロウ氏は話す。

Contiのファイルの流出は、ロシアの侵攻に対応してロシアのサイト、サービス、インフラを標的としたウクライナの「IT軍」の結成など、ハクティビストとセキュリティ同盟による幅広い取り組みの一部だ。

関連記事：ウクライナがロシアにハッキングで対抗する「IT部隊」を募集し反撃、テックリーダーにも参加を呼びかけ

画像クレジット：NurPhoto / Getty Images

［原文へ］

（文：Zack Whittaker、翻訳：Nariko Mizoguchi）

2021年は、ランサムウェアギャングが重要インフラに目を向け、製造業、エネルギー流通、食品生産を中心とした企業をターゲットにした年として記憶されるだろう。

Colonial Pipeline（コロニアル・パイプライン）のランサムウェア攻撃は、ITネットワークへのランサムウェア攻撃が燃料を分配するパイプラインを制御する運用ネットワークへ広がる懸念から、結果として5500マイル（約8850km）のパイプラインを停止させる事態となった。

運用・制御技術（OT）ネットワークは、生産ライン、発電所、エネルギー供給を継続的に行うために重要な機器を制御するもので、重要なハードウェアをサイバー攻撃からより適切に隔離することができるよう、通常、企業のインターネット向けITネットワークからセグメント化されている。OTネットワークに対する攻撃が成功することは稀だが、Colonialへのランサムウェア攻撃をきっかけに、CISA（米国土安全保障省サイバーセキュリティー・インフラセキュリティー庁）は重要インフラ所有者にとって脅威が増大していると警告している。

セキュリティ研究者は現在、これらのOTネットワーク上にある組み込み機器がもたらすリスクについて警鐘を鳴らしている。組み込み機器向けのセキュリティプロバイダーRed Balloon Security（レッドバルーンセキュリティ）は、実際のネットワークで使用されている組み込みシステムでランサムウェアを展開することが可能であることを、新たな調査で明らかにした。

同社によると、Schneider Electric（シュナイダーエレクトリック）のEasergy P5保護リレーに脆弱性が発見された。この装置は、障害が発見されるとサーキットブレーカーを作動させ、現代の電力網の運用と安定性に重要な役割を果たすものだ。

この脆弱性を悪用してランサムウェアのペイロードを展開することが可能で、Red Balloonはこのプロセスを「高度だが再現可能」だと述べている。Schneider Electricの広報担当者はTechCrunchに対し「サイバー脅威には非常に警戒している」とし「Schneider ElectricのEasergy P5保護リレーの脆弱性を知り、直ちにその解決に取り組みました」と述べた。

Red Balloonの創業者で共同CEOのAng Cui（アング・ツイ）氏は、ランサムウェア攻撃は重要インフラプロバイダーのITネットワークを攻撃しているが、OT組み込み機器の攻撃に成功した場合は「はるかに大きな損害」になるとTechCrunchに語った。

「企業は、組み込み機器そのものへの攻撃から回復することに慣れていませんし、経験もありません」とツイ氏は話す。「デバイスが破壊されたり、回復不可能になった場合、代替デバイスを調達する必要がありますが、供給量に限りがあるため、数週間かかることもあります」。

2021年にIoTメーカーがソフトウェアアップデートを確実かつ安全にデバイスに配信できるようサポートするスタートアップを立ち上げたセキュリティのベテランであるWindow Snyder（ウィンドウ・スナイダー）氏は、特に他の侵入ポイントがより回復力を持つようになると、組み込み機器は簡単にターゲットになる可能性があると話す。

組込み機器に関して、スナイダー氏はTechCrunchに対し「その多くは特権分離がなされておらず、コードとデータの分離もなされておらず、多くはエアギャップ・ネットワーク上に置かれることを想定して開発されたもので、それでは不十分です」と述べた。

Red Balloonの調査によれば、数十年前に製造されたものが多いこれらの機器に組み込まれているセキュリティは改善される必要があり、政府や商業部門のエンドユーザーに対して、これらの機器を製造しているベンダーに対してより高い基準を求めるよう呼びかけている。

「ファームウェアの修正版を発行することは、最もミッションクリティカルな産業やサービスにおける全体的なセキュリティの低さに対処できない、消極的で非効率的なアプローチです」とツイ氏は指摘する。「ベンダーは、組み込み機器のレベルまでセキュリティを高める必要があります」。同氏はまた、米政府が規制レベルでより多くの取り組みを行う必要があり、現在、デバイスレベルでより多くのセキュリティを組み込むインセンティブがないデバイスメーカーに、さらなる圧力をかける必要があると考えている。

しかし、スナイダー氏は、規制主導のアプローチは役に立たないと考えている。「最も有効なのは、攻撃対象領域を減らし、区画化を進めることだと思います。より安全なデバイスを作るために規制をかけることはできないでしょう。誰かが、デバイスに回復力を持たせなければならないのです」と述べた。

画像クレジット：Sean Gallup / Getty Images

［原文へ］

（文：Carly Page、翻訳：Nariko Mizoguchi）

ロシア連邦保安庁（FSB）は現地時間1月14日、悪名高いランサムウェア集団「REvil」を摘発し、その活動を停止させたと発表した。

この前例のない動きは、ロシア国外で活動する他のランサムウェア集団に対するメッセージとなることは間違いなく、ロシア当局はモスクワ、サンクトペテルブルク、リペツクの各地域で、REvilのメンバーとみられる14人が所有する25の建物を家宅捜索した。

2021年7月に活動を停止し、その後、9月に復活に失敗したREvilは、Colonial Pipeline（コロニアル・パイプライン）、JBS Foods（JBSフーズ）、米国のテクノロジー企業Kaseya（カセヤ）を標的とした攻撃など、過去12カ月間で最も被害が大きかった攻撃のいくつかを指揮したとみられている。

関連記事：ランサムウェア犯罪組織「REvil」、そのデータリークブログが乗っ取られて再び姿を消す

FSBは、4億2600万ルーブル（約6億4000万円）超と50万ユーロ（約6500万円）、60万ドル（約6800万円）の現金、暗号資産ウォレット、コンピューター、高級車20台を押収したと発表した。

FSBは声明で、米当局の要請を受けて捜査を行い、その結果は通知された、と述べている。

拘束されたランサムウェアのメンバーは「支払手段の違法な流通」の疑いでロシアの法律に基づいて起訴された。ロシア当局は、容疑者の名前を公表していない。

「FSBとロシア内務省による共同捜査の結果、組織的な犯罪コミュニティは存在しなくなり、犯罪目的に使用されていた情報インフラは無力化された」とFSBは声明で説明している。

今回のサプライズの摘発のニュースは、7月の米国のテクノロジー企業Kaseyaに対するランサムウェア攻撃を指揮したとして、米司法省がランサムウェア集団REvilにつながる22歳のウクライナ人を起訴してからちょうど2カ月後に発表された。また、欧州警察機構（Europol）が調整役を担った作戦により、2021年には他に7人のREvilメンバーも逮捕された。7月にはバイデン大統領がロシアに追従するよう促し、ロシアのVladimir Putin（ウラジーミル・プーチン）大統領にこれらの犯罪組織を崩壊させるための行動をとるよう圧力をかけた。

FSBがとった行動は、1月14日にウクライナの外務省、国家安全保障・防衛評議会、政府閣僚のウェブサイトを含む政府ウェブサイトが大規模なサイバー攻撃でダウンしたわずか数時間後に行われたものでもある。当局者は、結論を出すのは時期尚早だとしながらも、ロシアによるウクライナに対するサイバー攻撃の「長い記録」を指摘した。

画像クレジット：FSB / public

［原文へ］

（文：Carly Page、翻訳：Nariko Mizoguchi）

ブロックチェーン分析会社Chainalysisの報告書によると、北朝鮮のハッカーたちは2021年、暗号資産プラットフォームに少なくとも7件の攻撃を仕掛け、約4億ドル（約455億円）相当のデジタル資産を盗み取っていたという。

「2020年から2021年にかけ、北朝鮮が関係したハッキングは4件から7件に急増し、抜き取った総額は40％増えた」と報告書は述べている。

これらの攻撃は、主に投資会社や集中型取引所を標的にしていた。

報告書によると、ハッカーたちは、フィッシング詐欺、脆弱性をつくコード、マルウェア、高度なソーシャルエンジニアリングなどの複雑な手法を駆使して、インターネットに接続された標的組織の「ホットウォレット」から資産を抜き出し、北朝鮮が管理するアドレスに移していた。

「北朝鮮はいったん資産を握ると、それを隠ぺいして現金化するための慎重なロンダリング（資金洗浄）プロセスを開始した」と報告書は説明している。

2021年に標的となった資金は、イーサリアムが58％、ビットコインが20％を占め、残りの22％はERC-20トークンやアルトコインからだった。

また同報告書は、国連安保理の報告を引用して、北朝鮮はハッキングにより盗み出した資金を使い大量破壊兵器（WMD）や弾道ミサイル関連の開発計画を進めているとしている。

分析レポートによると「Lazarus Group（ラザラス・グループ）」と呼ばれるハッカー集団による攻撃だった可能性が高いとのこと。同グループは、北朝鮮の主要な情報機関、朝鮮人民軍偵察総局（RGB）に所属するとみられている。Lazarus Groupは、これまでにもランサムウェア「WannaCry（ワナクライ）」を使った攻撃や、Sony Pictures Entertainment （ソニー・ピクチャーズエンタテインメント）へのサイバー攻撃に関わった疑いがもたれている。

北朝鮮が盗んだ資金の65％以上は、ミキサー（何千ものアドレスからデジタル資産をプールしてスクランブルをかけるソフトウェアツール）を使ってロンダリングされたという。

また、北朝鮮は、2017年から2021年までの49件のハッキングで得た、1億7000万ドル（約194億円）相当とみられるロンダリングされていない暗号資産も保有している。

「ハッカーたちがなぜこれらの資金を放置しているのかは不明ですが、事件に対する法執行機関の関心が薄れ、監視されずに現金化できるようになることを期待しているのかもしれません。理由が何であれ、北朝鮮がこれらの資金を保有している期間の長さは興味深い点です。自暴自棄で性急な行動ではなく、慎重な計画であることを示唆しているからです」と報告書は述べている。

画像クレジット：RobertAx / Getty Images

［原文へ］

（文：Kate Park、翻訳：Aya Nakazato）

米国各地の学校区にウェブサイトのデザイン、ホスティング、コンテンツ管理のソリューションを提供しているソフトウェアハウスのFinalsiteが、ランサムウェア攻撃を受けた。

先週初め、Finalsiteがホストしているウェブサイトを利用している学区は、サイトにアクセスできなくなったり、エラーが表示されることに気づいた。当初、Finalsiteはこの問題を複数のサービスにおける「パフォーマンス上の問題」としていたが、コネチカット州グラストンベリーを拠点とする同社は、今回の障害がランサムウェアによるものであることを認めた。

「1月4日（火）、当社のチームは、我々の環境の一部のシステム上にランサムウェアが存在することを確認しました」と同社は声明で述べている。「当社は直ちにシステムの安全を確保し、活動を抑制するための措置を講じました。また、第三者のフォレンジック専門家の協力を得て、迅速に調査を開始し、特定のシステムを積極的にオフラインにしました」とも。

Finalsiteの広報担当者であるMorgan Delack（モーガン・デラック）氏がTechCrunchに語ったところによると、同社の全世界の顧客総数8000のうち、カンザスシティ、イリノイ州、ミズーリ州の学区を含む約5000校の顧客が今回のインシデントの影響を受けているとのこと。ウェブサイトの停止に加えて、あるRedditユーザーによると、このインシデントにより、新型コロナ集団感染の発生による休校に関するメール通知を送信できない学校もあったという。

Finalsiteは最新の状況報告の中で「エンドユーザーに表示されるウェブサイトの大部分はオンラインに戻っている」と述べているが、「一部のサイトでは、適切なスタイル、管理者のログイン機能、カレンダーイベント、関係者ディレクトリがまだ欠けている可能性がある」と指摘している。Finalsiteの顧客の1つであるペンシルバニア州のHoly Ghost Preparatory Schoolは、1月7日に、ウェブサイトは復旧したものの、クラス登録フォームと電子メールシステムは依然として利用できないと発表した。

Finalsiteの広報担当者によると、同社は問題に気づいた時点で顧客サイトをオフラインにし、クリーンな環境でシステムを一から再構築したという。「そのため、復旧に時間がかかっています。「マルウェアの問題が原因でサイトがダウンしたのではなく、お客様のデータを保護するために停止したのです」と同担当者は述べている。

攻撃者がどのようにしてFinalsiteのシステムにアクセスしたのかは依然として不明で、攻撃に使用されたランサムウェアの種類もまだわかっていない。同社はTechCrunchに対し、フォレンジック専門家と協力して徹底した調査を続けていると述べている。

同社は、今のところランサムウェアの攻撃によってデータが盗まれたという「証拠はない」としているが、広報担当者は、調査中であることを理由に、Finalsiteがデータの流出を検知するログなどの手段を持っているかどうかについては言及を避けた。

教育機関やそのプロバイダーはパンデミックの発生以降、多くの学校区がオンラインでの遠隔授業に移行したことから、狙われやすい攻撃対象となっている。例として、2021年9月には、ワシントンD.C.のハワード大学がランサムウェア攻撃を受け、授業の中止を余儀なくされた。

画像クレジット：Olivier Douliery / Getty Images

［原文へ］

（文：Carly Page、翻訳：Aya Nakazato）