英国警察が「Lapsus$」のハッキングに関連して16歳から21歳までの容疑者7名を逮捕

英国警察は、Samsung(サムスン)、NVIDIA(エヌビディア)、Microsoft(マイクロソフト)、Okta(オクタ)などのテック大手各社をここ数週間で標的にしたハッカー集団「Lapsus$」との関連が疑われる7名の容疑者を逮捕した。

TechCrunchに寄せられた声明の中で、ロンドン市警のMichael O’Sullivan(マイケル・オサリバン)警部は次のように述べた。「ロンドン市警は、ハッカー集団のメンバーについて、パートナー組織と連携して捜査を進めてきました。この捜査に関連して、16歳から21歳までの7人が逮捕され、全員捜査中は釈放されました。我々の捜査はまだ続いています」。

今回の逮捕のニュースは、Bloombergの報道で、英国のオックスフォードを拠点とする10代の若者が、最近立て続けにハッキングを仕かけたハッカー集団「Lapsus$」の首謀者である疑いがあることが明らかになった数時間後に発表された。このグループの最近のハッキングを調査している4人の研究者が「White」または「Breachbase」というオンライン名を使っている16歳の若者がLapsus$の中心人物であると思うと述べ、Bloombergは、彼の個人情報がライバルハッカーによってオンラインで流出した後に、ハッカー容疑者を突きとめることができた。

セキュリティレポーターのBrian Krebs(ブライアン・クレブス)氏によると、この10代の容疑者は2021年、他人の個人情報を共有したり探したりできるサイト「Doxbin」を購入したが、2022年1月にサイトの管理を放棄し、DoxbinのデータセットをすべてTelegram(テレグラム)に流出させたという。Doxbinコミュニティは、自宅の住所、ソーシャルメディアの写真、両親の詳細など、彼の個人情報を公開することで報復を行った。

TechCrunchは、このハッカー容疑者の流出した個人情報のコピーを確認したが、それは公開しない。だが、Bloombergの報道と一致するとだけ報じておく。

通常は金融犯罪を主に扱うロンドン市警は、逮捕者の中にこの16歳の若者が含まれているかどうかは明言しなかった。

クレブス氏によると、Lapsus$の少なくとも1人のメンバーは、最近Electronic Arts(EA、エレクトロニック・アーツ)で起きたデータ流出事件にも関与していたようで、もう1人はブラジル在住の10代の若者と疑われている。後者はハッキング能力が非常に高く、研究者は最初、目撃している活動は自動化されたものだと考えたという。

研究者がLapsus$のメンバーと思われる容疑者たちを追跡できたのは、このグループがTelegramチャンネルに4万5000人以上の登録者を持ち、頻繁にインサイダーを勧誘して被害者のデータをリークしていたため、よく痕跡を隠せていなかったからかもしれない。Microsoftは3月22日のブログ記事で、このグループは標的の組織に最初にアクセスするために大胆な戦術を使っており、これには公然と会社のインサイダーを勧誘することも含まれていると述べていた。今週Bloombergが報じたように、このグループは、侵入した企業のZoom(ズーム)通話に参加し、ハッキングを一掃しようとする従業員を愚弄することまでしていた。

ハッキンググループLapsus$が最初に明るみに出たのは2021年12月で、同グループは主に英国と南アフリカの組織を標的にしていた。今週初め、最新の被害者はOtkaであることが確認され、Otkaは米国時間3月23日に、約366社の法人顧客が侵害の影響を受けたことを認めた。

画像クレジット:Richard Baker / Getty Images

原文へ

(文:Carly Page、翻訳:Den Nakano)

ベラルーシ当局がロシア語版ウィキペディアの主要編集者を逮捕、ロシア「フェイクニュース法」に抵触?

ベラルーシ当局がロシア語版ウィキペディアの主要編集者を逮捕、ロシア「フェイクニュース法」に抵触?

berean via Getty Images

ベラルーシの報道機関Zerkaloが、ロシア語版Wikipediaのトップ編集者マーク・バーンスタイン氏がベラルーシ当局に逮捕されたと報じました。バーンスタイン氏はロシアが先日定めた「フェイクニュース法」に違反したと伝えられています。

ロシアのフェイクニュース法は外国人も対象とされ、ロシア軍に関する「誤情報」、特にウクライナ侵攻に関する虚偽の情報(ロシア政府は特別軍事作戦と呼称)を拡散した者に対しては最長で禁固15年に処される可能性があるとされます。施行前後の3月4~10日にはウクライナ情勢を伝えるため現地に入っていた英BBCなどが取材活動を一時的に取りやめるに至っていました。

今回バーンスタイン氏はベラルーシの組織犯罪対策当局であるGUBOPiKに拘束されたとされ、逮捕直前にはバーンスタイン氏のWikipediaにおけるハンドルネームや勤務先といった情報がGUBOPiKの公開Telegramチャンネルに流れていたとされます。またこのチャンネルではバーンスタイン氏の逮捕の様子をとらえた動画も共有されたとのこと。

ただ、ロシアの法律をベラルーシ当局が適用して誰かを逮捕することは、普通ならできません。The Vergeはこの逮捕が一体何の罪状によるものなのか、どの記事がロシアのフェイクニュース法に抵触するのか定かではないとしています。

ロシアはウクライナ侵攻に関する政府公式の発表と異なる情報やその発信源の取り締まりを強化しており、フェイクニュース法によってロシア国内の独立系メディアを一掃しています。その独立系メディアのひとつである「Novaya Gazetaの編集長ドミトリー・A・ムラトフ氏はNew York Times紙に対して「ロシア政府によるプロパガンダ以外の情報はすべて削除される」と述べました。

Wikipediaを展開するWikimedia財団の広報は「財団の信頼と安全と人権のチームは、ウクライナで進行中の危機を監視してきました」と述べ「彼らの安全確保とニーズに対応するために、各地域の我々のコミュニティと連絡を密にしている」とし、状況を注意深く見守っていると述べました。

(Source:The VergeEngadget日本版より転載)

「NetWalker」ランサムウェア攻撃関与の元カナダ政府職員が米国に送還、約32億円超相当のビットコイン押収

数十のランサムウェア攻撃を行ったとして起訴されたカナダの元政府職員が米国に送還され、この事件に関連して2800万ドル(約32億8500万円)以上のビットコインが押収された。

LinkedInのプロフィールによるとカナダ公共事業・政府業務省(PWGSC)でITコンサルタントとして働いていたSebastien Vachon-Desjardins(セバスチャン・ヴァション=デジャルダン)容疑者は、米国時間3月9日に米国に身柄を引き渡され、NetWalkerランサムウェアグループに参加した疑いで複数の罪に問われると、米国司法省(DOJ)は3月10日に発表した

NetWalkerは「Mailto」としても知られるRaaS(ランサムウェア・アズ・ア・サービス)で、ランサムウェアを展開するアフィリエイトを募り、身代金の一部を分配することで事業を展開している。このグループは2019年に初めて表面化し、その後、いくつかのハイプロファイルのサイバー攻撃と関連している。2020年6月にはカリフォルニア大学サンフランシスコ校を標的にし、その際に同校は100万ドル(約1億1700万円)以上の身代金を支払った。その3カ月後、NetWalkerはサイバー脅威スタートアップのCygilant(サイジアント)を襲った

このRaaS運営グループは、アルゼンチンの移民局、パキスタン最大の民間電力会社、そして新型コロナウイルスのパンデミック中には、多くの病院や法執行機関も標的にしていた。暗号資産分析会社Chainalysisによると、2019年8月から2021年1月の間に、NetWalkerが関与するランサムウェア攻撃は、4600万ドル(約53億円)にのぼる身代金を引き出しているという。

ヴァション=デジャルダン容疑者は、NetWalkerランサムウェアグループを標的とした国際法執行キャンペーンの一環として、2021年1月にカナダの警察に逮捕された。ケベック州にある彼の自宅を捜索した際、警察官は執筆時点で約2810万ドル(約33億円)相当の719ビットコインと、79万ドル(約7280万円)のカナダ通貨を発見した。米国とベルギーの当局は、NetWalkerが被害者から盗んだデータを公開するために使用していたダークウェブのサイトも差し押さえている

当時、ヴァション=デジャルダン容疑者は、カナダの裁判所で、コンピュータデータの窃盗、恐喝、暗号資産の身代金の支払い、犯罪組織の活動への参加に関する5つの罪を認め、7年の禁固刑を言い渡された。

ヴァション=デジャルダン容疑者は現在米国にいるため、コンピュータ詐欺と電信詐欺の共謀、保護されたコンピュータへの故意の損害、保護されたコンピュータへの損害に関連した要求の送信で告発され、さらなる罪に問われている。

有罪判決を受けた場合、NetWalkerランサムウェア一味との関わりにより、2700万ドル(約31億6800万円)以上の没収を求められる可能性がある。

ケネス・ポリテ・ジュニア司法次官補はこう述べている。「カナダのパートナーによる暗号資産の押収に代表されるように、我々は、国内外を問わず、ランサムウェアの収益とされるものの押収・没収を法的に可能なあらゆる手段を用いて追求します。当省は暗号資産だからといって身代金の追求と押収をやめることはなく、これにより、暗号資産を使って法執行から逃れようとするランサムウェア犯の企みを阻止します」。

ヴァション=デジャルダン容疑者の送還のニュースは、REvilランサムウェアグループのメンバーがKaseyaハッキングへの関与の疑いで逮捕され、米国で告発を受けるためにテキサス州に送還されたわずか数日後に発表された。

画像クレジット:TechCrunch(スクリーンショット)

原文へ

(文:Carly Page、翻訳:Den Nakano)

ポーランドで逮捕されたランサムウェア犯罪グループ「REvil」のメンバー1人が米国に引き渡される

ランサムウェアグループ「REvil(レヴィル)」の主要メンバーの1人とされる人物が逮捕され、米国で裁きを受けるためにテキサス州に引き渡された。この人物は、IT管理ソフトウェアを提供するKaseya(カセヤ)にサイバー攻撃を仕かけ、同社の数千もの顧客のネットワークを暗号化した犯罪の実行犯である疑いがあると、連邦当局は述べている。

この22歳のウクライナ人、Yaroslav Vasinskyi(ヤロスラフ・ヴァシンスキー)容疑者は、現地時間10月8日にポーランドで逮捕された。8月に提出された起訴状によると、同容疑者はコンピュータハッキングと詐欺の疑いで告発されており、今週ダラスの連邦裁判所に喚問され引き渡されるまで拘束されていた。

一時期、別名Sodinokibi(ソディノキビ)とも呼ばれるサイバーギャング組織のREvilは、最も活発で多くの犯罪を行っているランサムウェアグループの1つだった。同グループは、しばしば被害者のコンピューターを暗号化し、高額な身代金を要求することがある。このロシア語を話すランサムウェア・アズ・ア・サービスの手口は、身代金として企業の利益の一部を受け取る代わりに、暗号化を解除するためのインフラへのアクセスを貸し出すというものだ。

このグループは出現以来、食肉加工工場のJBSに攻撃を仕掛けて食糧生産に遅れを生じさせたり、パソコンメーカーのAcer(エイサー)やエネルギー大手のInvenergy(インベナジー)などの企業のデータベースに侵入して個人情報を流出させた。

しかし、最も注目を集めたのは、ITおよびネットワーク管理ソフトウェア会社のKaseyaに対する攻撃だ。REvilのランサムウェアは、同社のソフトウェアを使用する顧客のネットワークで下流に向けて拡散し、数千の企業が影響を受けたとされる。そこで米国政府は、このハッカーを裁くための情報を求めて、1000万ドル(約11億7000万円)の懸賞金を打ち出すことになった。

Kaseyaの攻撃から数週間後、同社は世界共通の復号キーを入手し、顧客が数百万ドル(数億円)相当の身代金を支払わずともシステムのロックを解除できるようにした。The Washington Post(ワシントン・ポスト紙)によると、FBIは密かにキーを入手し、Kaseyaの攻撃で非難された後、しばらくしてインターネットから姿を消したハッカーの取り押さえを計画していたが、それは実現しなかったという。

10月までに米国政府は、この犯罪グループをオフラインに追い込む多国籍の取り組みを行っていたことを明らかにした。その後、ルーマニアとロシアの法執行機関がメンバーを逮捕し、グループはほぼ解体され、数百万ドルの現金と暗号資産が押収された。

「海外からKaseyaへのランサムウェア攻撃を行ったとみられる時からわずか8カ月後、この被告人は裁きを受けるためにダラスの法廷に到着しました」と、米国司法長官代理のLisa Monaco(リサ・モナコ)氏は声明で述べている。「私たちは攻撃されたら、国内外のパートナーと協力し、サイバー犯罪者がどこにいようと追い求めます」。

ヴァシンスキー容疑者は、Kaseyaの攻撃に関連して米国検察当局によって起訴されたREvilのメンバーとされる2人のうちの1人で、もう1人は28歳のロシア人、Yevgeniy Polyanin(エフゲニー・ポリアニン)である。

ヴァシンスキー容疑者は、有罪判決を受けた場合、100年以上の懲役刑が科せられる。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

米司法省がハッキングで盗まれた約4160億円相当のビットコインを押収、ロンダリングの疑いで技術系スタートアップ関係者夫婦を逮捕

米司法省は、2016年に暗号資産取引所のBitfinex(ビットフィネックス)がハッキングされて盗まれたと見られる9万4000以上のBitcoin(ビットコイン)を押収し、その盗み出した資金をロンダリングした疑いのある夫婦を逮捕したと発表した。この夫婦、Ilya Lichtenstein(イリヤ・リヒテンシュタイン、34歳)とHeather Morgan(ヘザー・モーガン、31歳)の両容疑者は、資金洗浄と米国政府への詐欺を共謀した罪に問われており、有罪判決を受けた場合、最高25年の懲役刑が科せられる。2人は米国時間2月8日の午後、マンハッタンの連邦裁判所に出廷を命じられていた。

今回押収された資産は、同日のビットコイン価格で36億ドル(約4160億円)相当となり、暗号資産では米司法省の歴史上で最大の金額にのぼると、同省は述べている。しかし、2016年のハッキングで奪われた資金の全額を回収したわけではない。盗まれたとされる11万9754枚のビットコインは、現在45億ドル(約5200億円)の価値がある。

モーガン容疑者とリヒテンシュタイン容疑者は、ハッキングの実行犯としては正式に起訴されていないが、検察はビットコインがリヒテンシュタイン容疑者の管理するデジタルウォレットに送られていたことから、容疑者を発見したと述べている。司法省は、ハッカーがBitfinexのシステムに侵入し、2000件以上の違法取引に着手した後、夫妻はコインを入手したと述べている。

リヒテンシュタイン容疑者とモーガン容疑者は、LinkedIn(リンクトイン)のプロフィールによると、ともに技術系スタートアップのエコシステムに深く関わっている。米国とロシアの二重国籍で「Dutch(ダッチ)」というニックネームで呼ばれるリヒテンシュタイン容疑者は、Y Combinator(Yコンビネーター)が支援するセールスソフトウェア企業のMixRank(ミックスランク)を設立した。Crunchbase(クランチベース)のデータとLinkedInによると、モーガン容疑者はB2Bセールスのスタートアップ企業であるSalesFolk(セールスフォーク)の創業者兼CEOであり、リヒテンシュタイン容疑者は2014年から同社のアドバイザーを務めている。また、プロフィールによると、リヒテンシュタイン容疑者は、ベンチャーキャピタルである500 Startups(ファイブハンドレッドスタートアップス)のメンターや、Ethereum(イーサリアム)ウォレットを提供するEndpass(エンドパス)のアドバイザーも務めており、モーガン容疑者はForbes(フォーブズ)やInc(インク)にコラムを執筆している。

盗まれたビットコインの3分の1以上は、リヒテンシュタイン容疑者のウォレットから「複雑なマネーロンダリングの過程を経て」送金された。その過程には、偽名のアカウントを作り、ビットコインをMonero(モネロ)などのより匿名性が高いデジタル通貨に変換する「チェーンホッピング」と呼ばれる手法が含まれていた。マネーロンダリングされなかった9万4000のビットコインは、ハッキングで得た収益を保管していたウォレットに残っていたため、捜査官は裁判所の許可を得た令状を使って広範囲なオンライン検索を行った結果、回収することができたという。

Bitfinexは2月8日の声明で、米国当局と協力して盗まれた資金を正当な所有者に返還することを試みると述べている。

司法省刑事局のKenneth A. Polite Jr.(ケネス・A・ポライト・ジュニア)司法次官補は、司法省の声明の中で、次のように述べている。「連邦法執行機関は本日、ブロックチェーンを通じて資金を追跡することが可能であること、そして、暗号資産がマネーロンダリングの安全な隠れ場や、金融システム内の無法地帯となることを決して許さないということを、改めて証明しました」。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Anita Ramaswamy、翻訳:Hirokazu Kusakabe)

ロシア当局が悪名高いランサムウェア集団「REvil」を摘発、活動停止に

ロシア連邦保安庁(FSB)は現地時間1月14日、悪名高いランサムウェア集団「REvil」を摘発し、その活動を停止させたと発表した

この前例のない動きは、ロシア国外で活動する他のランサムウェア集団に対するメッセージとなることは間違いなく、ロシア当局はモスクワ、サンクトペテルブルク、リペツクの各地域で、REvilのメンバーとみられる14人が所有する25の建物を家宅捜索した。

2021年7月に活動を停止し、その後、9月に復活に失敗したREvilは、Colonial Pipeline(コロニアル・パイプライン)、JBS Foods(JBSフーズ)、米国のテクノロジー企業Kaseya(カセヤ)を標的とした攻撃など、過去12カ月間で最も被害が大きかった攻撃のいくつかを指揮したとみられている。

関連記事:ランサムウェア犯罪組織「REvil」、そのデータリークブログが乗っ取られて再び姿を消す

FSBは、4億2600万ルーブル(約6億4000万円)超と50万ユーロ(約6500万円)、60万ドル(約6800万円)の現金、暗号資産ウォレット、コンピューター、高級車20台を押収したと発表した。

FSBは声明で、米当局の要請を受けて捜査を行い、その結果は通知された、と述べている。

拘束されたランサムウェアのメンバーは「支払手段の違法な流通」の疑いでロシアの法律に基づいて起訴された。ロシア当局は、容疑者の名前を公表していない。

「FSBとロシア内務省による共同捜査の結果、組織的な犯罪コミュニティは存在しなくなり、犯罪目的に使用されていた情報インフラは無力化された」とFSBは声明で説明している。

今回のサプライズの摘発のニュースは、7月の米国のテクノロジー企業Kaseyaに対するランサムウェア攻撃を指揮したとして、米司法省がランサムウェア集団REvilにつながる22歳のウクライナ人を起訴してからちょうど2カ月後に発表された。また、欧州警察機構(Europol)が調整役を担った作戦により、2021年には他に7人のREvilメンバーも逮捕された。7月にはバイデン大統領がロシアに追従するよう促し、ロシアのVladimir Putin(ウラジーミル・プーチン)大統領にこれらの犯罪組織を崩壊させるための行動をとるよう圧力をかけた。

FSBがとった行動は、1月14日にウクライナの外務省、国家安全保障・防衛評議会、政府閣僚のウェブサイトを含む政府ウェブサイトが大規模なサイバー攻撃でダウンしたわずか数時間後に行われたものでもある。当局者は、結論を出すのは時期尚早だとしながらも、ロシアによるウクライナに対するサイバー攻撃の「長い記録」を指摘した。

画像クレジット:FSB / public

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

数十億円規模の暗号資産を盗難、SIMハイジャック事件に関与した米国ハッカーが投獄される

米国司法省は現地時間11月30日、「The Community」として知られる国際的なハッキンググループの最後のメンバーが、数千万ドル(数十億円)規模のSIMハイジャック事件に関与したとして判決を受けたことを発表した。

ミズーリ州在住のGarrett Endicott(ギャレット・エンディコット)被告(22歳)は、ハッキンググループの6人目のメンバーとして判決を受けた。同被告は、複数の被害者から数千万ドル(数十億円)相当の暗号資産を奪ったこのハッキング活動に参加したことにより、10カ月の懲役刑を受け、12万1549ドル(約1370万円)の賠償金の支払いを命じられた。

SIMハイジャックは、SIMスワップ詐欺とも呼ばれ、攻撃者がターゲットの電話番号を乗っ取ることで、テキストメッセージやその他の形式の2要素認証(2FA)コードを受信できるようにし、被害者のEメールやクラウドストレージ、最終的には暗号資産取引所のアカウントにログインできるようにする手法だ。

The CommunityのSIMハイジャックは「携帯電話会社の従業員を買収することで可能になったケースが多かった」と検察官は述べている。「他にも、SIMハイジャックは、The Communityのメンバーが被害者を装って携帯電話会社のカスタマーサービスに連絡し、被害者の電話番号をThe Communityが管理するSIMカード(ひいてはモバイル機器)に交換するように要求することで達成されました」とも。

今回の事件では、数千万ドル(数十億円)相当の暗号資産が盗まれた。カリフォルニア州、ミズーリ州、ミシガン州、ユタ州、テキサス州、ニューヨーク州、イリノイ州など、米国中の被害者が、(盗難時)2000ドル(約22万5000円)以下から500万ドル(約5億6500万円)以上の価値のある暗号資産を失ったとのこと。

司法省によると、判決を受けた被告らは、それぞれ合計約5万ドル(約565万円)から900万ドル(約10億1700万円)以上の窃盗に関与していたという。

エンディコット被告は「The Community」の他のメンバーよりも軽い刑罰を受けた。フロリダ州在住のRicky Handschumacher(リッキー・ハンシュマッカー)被告は4年の懲役と760万ドル(約8億6000万円)超の罰金、アイオワ州在住のColton Jurisic(コルトン・ジュリシック)被告は42カ月の懲役と950万ドル(約10億7300万円)超の支払いを命じられ、サウスカロライナ州在住のReyad Gafar Abbas(レイアド・ガファール・アッバス)被告は2年の懲役と31万ドル(約3500万円)超の罰金を言い渡された。

アイルランド在住のConor Freedman(コナー・フリードマン)被告は以前アイルランドの裁判所から3年の懲役刑を言い渡されており、コネチカット州在住のRyan Stevenson(ライアン・スティーブンソン)被告は執行猶予を言い渡された。両者とも、何らかの形での賠償を命じられている。

エンディコット被告の判決は、FCC(連邦通信委員会)がSIMハイジャック詐欺に対抗するための新ルールを提案してから数週間後に下されたものだ。FCCは、新しい携帯電話や他の通信事業者へのサービスの移行に同意する前に、プロバイダがより安全な方法で本人確認を行うことを求めている。また、SIMの切り替えやポートアウトの要求があった場合には、プロバイダは顧客に通知することを義務付ける規則も提案している。

関連記事:米連邦通信委員会がSIMスワップ詐欺に対抗する新規則を提案

画像クレジット:Samuel Corum / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

ロシア当局が反逆罪でサイバーセキュリティ企業Group-IBのCEOを逮捕

ロシア当局は、同国で最大のサイバーセキュリティ会社の1つであるGroup-IB(グループIB)の共同創業者でCEOのIlya Sachkov(イリヤ・サチコフ)氏を反逆罪で逮捕し、身柄を拘束した。

サチコフ氏の拘束についての詳細は不明だが、当局はGroup-IBのオフィスを捜索したとロシアのメディアが伝えた、とロイターは報じている。ロシア国営通信社のタスは、現地時間9月28日に逮捕されたサチコフ氏は、名前は伏せられている外国政府に国家機密を転送した容疑で逮捕されたと報じ、報道によるとサチコフ氏は容疑を否認している。

Group-IBはCEOの逮捕を認めたが、広報担当は社のウェブサイトにある声明以上のコメントはしなかった。同社はモスクワの裁判所の判断を精査していて、サチコフ氏の無罪に「自信がある」とウェブサイトには書かれている。

Group-IBは声明で、サチコフ氏不在の間、共同創業者のDmitry Volkov(ドミトリ・ボルコフ)氏が社を率いると述べた。裁判所の命令で、サチコフ氏は少なくとも2カ月間は拘束される。「Group-IBの全部門が通常通り営業します」と声明にはある。

広報担当はタス通信の報道にあった容疑についてコメントしなかった。反逆罪で有罪となった場合、最長20年の懲役となる。

35歳のサチコフ氏は2003年にGroup-IBを創業した。現在シンガポールに本社を置く同社は、企業や政府がサイバー攻撃やオンライン詐欺を調査するのをサポートしていて、国際刑事警察機構(Interpol)やロシアの銀行、防衛企業などを顧客に抱える。

2016年の米大統領選挙に干渉したとして米政府がロシア政府を非難した後、Group-IBは2018年に本社をシンガポールに移した。当時サチコフ氏は、新本社に3000万ドル(約34億円)を投資し、新たに90人を雇用すると述べた。サチコフ氏はこれまでロシア政府に批判的で、シンガポールへの移転は事業を拡大し、独立性を保つための取り組みの一環だと話していた。

米司法省は2020年に、Nikita Kislitsin(ニキタ・キスリトシン)氏の2014年の公訴を公開した。公訴ではキスリトシン氏はネットワークセキュリティ責任者としてGroup-IBに入社する前の2012年にFormspringから盗まれたクレデンシャルを販売しようと共謀していた、との容疑がかけられた。米検察はGroup-IBの不正行為を告発しなかったが、同社はキスリトシン氏が不正を行ったことを示すものは「何もない」と述べて同氏を擁護した。

画像クレジット:Peter Kovalev / TASS / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

逮捕者を出したランサムウェア犯罪集団「Clop」が活動を再開

ウクライナ警察がランサムウェア犯罪集団「Clop(クロップ)」と関係があるとみられる6人の容疑者を逮捕してから数日後、この悪名高いランサムウェアの活動が再開されたようだ。

関連記事:ウクライナ警察がClopランサムウェアの容疑者6人を逮捕、米・韓国企業を攻撃

先週、ウクライナ国家警察が韓国と米国の関係者とともに行った法執行活動により、ランサムウェア「Clop」に関係しているとみられる複数の容疑者が逮捕された。国家レベルの法執行機関による大規模なランサムウェアグループの逮捕は、これが初めてのことだと思われる。

ウクライナ警察は当時、同グループが使用していたサーバーインフラを停止させることに成功したとも主張していた。しかし、この作戦は完全に成功したわけではないようだ。

逮捕者が出た後、Clopは沈黙を守っていたが、今週になってから、新たな被害者である農機具小売業者と建築士事務所から盗んだとする機密データをダークサイトで公開した(TechCrunchはそれを目にしている)。

もしこれが本物であれば(被害者とされる両者ともTechCrunchのコメント要求に応じていない)、先週行われた史上初の法執行機関による逮捕にもかかわらず、ランサムウェア犯罪集団は依然として活動を続けていることになる。これはつまり、手錠をかけられた容疑者の中に、Clopの活動で重要な役割を果たしている者が含まれていなかったためと考えられる。サイバーセキュリティ企業のIntel 471(インテル471)は、先週の逮捕が活動のマネーロンダリング部分をターゲットとしており、犯罪集団の中核メンバーは捕らえられていなかったとの見解を示している

「Clopの背後にいる中核的な人物が逮捕されたとは思えません」と、Intel 471は述べている。「Clopに与えた全体的な影響は小さかったと思われます。しかし、今回の法執行機関による逮捕は、最近DarkSide(ダークサイド)やBabuk(バブク)のような他のランサムウェアグループで見られたように、Clopブランドが放棄される結果を導く可能性もあります」。

Clopはまだビジネスを続けているようだが、このグループがいつまで活動を続けるかはまだわからない。米国の捜査当局が最近、Colonial Pipeline(コロニアル パイプライン)を攻撃したハッカーに身代金として支払われたと主張される数百万の暗号資産を回収するなど、2021年に入ってから法執行機関の活動がランサムウェアグループに数々の打撃を与えているだけでなく、ロシアは今週、米国と協力してサイバー犯罪者の居場所を突き止める活動を開始することを認めた。

ロシアはこれまで、ハッカーへの対応に関しては傍観主義的な態度を続けていた。だが、Reuters(ロイター)が米国時間6月23日に報じたところによると、ロシア連邦保安庁(FSB)のAlexander Bortnikov(アレクサンドル・ボルトニコフ)局長は、今後のサイバーセキュリティ活動においては、米国の当局と協力していくと語ったという。

Intel 471は、先週の作戦でClopの主要メンバーが逮捕されたとは考えていないと述べていたが、それは「彼らはおそらくロシアに住んでいる」からであり、ロシアは長い間、行動を起こすことを拒否していたため、サイバー犯罪者にいわゆるセーフハーバー(安全港)を与えてきた。

Clopランサムウェアが2019年初頭に初めて発見されて以来、同グループは数々の注目を集めるサイバー攻撃に関与してきた。その中には、2020年4月に発生した米国の大手製薬会社ExecuPharm(エグゼキュファーマ)の侵入事件や、最近発生したAccellion(アクセリオン)のデータ流出事件が含まれる。この事件では、ハッカーがITプロバイダーのAccellionが使用するソフトウェアの欠陥を悪用して、コロラド大学やクラウドセキュリティベンダーのQualys(クオリス)など数十社におよぶ顧客のデータを盗み出した。

関連記事:

カテゴリー:セキュリティ
タグ:逮捕警察ランサムウェアハッカー暗号資産犯罪サイバー攻撃

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

ウクライナ警察がClopランサムウェアの容疑者6人を逮捕、米・韓国企業を攻撃

Clopランサムウェアのギャングにつながっているとされている複数の容疑者が、ウクライナ、韓国、米国の当局による合同捜査を経てウクライナで逮捕された。

ウクライナ国家警察のサイバー部門は、首都キエフと周辺で21カ所の家宅捜索を行い、6人を逮捕したことを明らかにした。容疑者らがランサムウェア一味の仲間なのか、あるいは中心的なデベロッパーなのかは明らかではないが「二重の脅迫」スキームを展開していた罪に問われている。このスキームでは、身代金の支払いを拒んだ被害者らはファイルが暗号化される前にネットワークから盗まれたデータを公開すると脅される。

関連記事:ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収

「被告6人は米国と韓国の企業のサーバーで『ランサムウェア』のような悪意あるソフトウェアの攻撃を実行したことが立証されました」とウクライナの国家警察は声明文で主張した。

疑わしいClopランサムウェアのギャングから機器を押収した警察は、金銭上の損害は約5億ドル(約554億円)弱になると述べた。押収したものはコンピューター備品、数台の車(TeslaとMercedes含む)、現金500万ウクライナグリブナ(約2046万円)などだ。当局はまた、ギャングのメンバーが攻撃するのにこれまで使っていたサーバーインフラをシャットダウンしたと主張した。

「法執行機関が協力して、なんとかウイルスを拡散するインフラをシャットダウンし、犯罪で得た暗号資産(仮想通貨)を合法化するためのチャンネルをブロックしました」と声明文にはある。

これらの攻撃は2019年2月に始まった。韓国企業4社を攻撃し、810もの内部サービスとパソコンを暗号化した。以来「Cl0p」と表記されることが多いClopは数多くの有名なランサムウェア攻撃に関与してきた。ここには2020年4月の米製薬大手ExecuPharmの情報流出、小売店舗のほぼ半分を閉鎖することを余儀なくされた同11月の韓国eコマース大手E-Landへの攻撃などが含まれる。

Clopはまた、Accellionのランサムウェア攻撃とデータ流出にも関与している。この件ではハッカーたちはITプロバイダーAccellionの何十もの顧客からデータを盗むのに、Accellionのファイル転送アプライアンス(FTA)の脆弱性を悪用した。情報流出の被害者にはシンガポールの通信会社Singtel、法律事務所Jones Day、スーパーチェーンのKroger、サイバーセキュリティ会社Qualysなどが含まれる。

この記事執筆時点で、Clopが盗んだデータを共有するのに使うダークウェブポータルはまだ稼働中だが、数週間アップデートされていないようだ。しかし、法執行当局は通常、取り締まりがうまくいったときはターゲットのウェブサイトをロゴに変えるため、ギャングのメンバーがまだアクティブかもしれないと思わせる。

「Clopオペレーションは通信、製薬、石油・ガス、航空宇宙、テクノロジーなどさまざまな分野の世界中の組織をディスラプトし、恐喝するのに使われてきました」とMandiantの脅威インテリジェンス部門で分析担当バイスプレジデントを務めるJohn Hultquist(ジョン・ハルトキスト)氏は話した。「攻撃グループ『FIN11』はランサムウェアや恐喝などのオペレーションに強く関係してきましたが、逮捕者の中にFIN11のメンバーや、オペレーションに関係している他の人物が含まれているかどうかは不明です」。

ハルトキスト氏は、ウクライナ警察の取り組みは「ウクライナがサイバー犯罪との戦いで米国の強固なパートナーであり、ウクライナの当局が犯罪者の非難港を否定しようと努力していることのリマインダーです」と述べた。

容疑者たちはコンピューター、自動化システム、コンピューターネットワーク、通信ネットワークでの不正な干渉と、犯罪的な手段で入手した資産のロンダリングの罪で懲役8年が科される可能性がある。

逮捕のニュースは、国際法執行機関がランサムウェアギャングを厳しく取り締まっている結果だ。先週、米司法省はColonial PipelineがDarkSideのメンバーに支払った身代金の大半を回収したと発表した。

関連記事
富士フイルムにランサムウェア攻撃か、ネットワークを遮断し調査
フェイスブックがマルウェアが仕込まれた偽「PC版Clubhouse」アプリの広告を掲載
ハッカーたちが脆弱なExchangeサーバーを悪用してランサムウェアをばらまいている

カテゴリー:セキュリティ
タグ:ウクライナ逮捕警察ランサムウェアハッカー暗号資産アメリカ韓国犯罪サイバー攻撃

画像クレジット:Cyber Police Department of the National Police of Ukraine / supplied

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

米政府がShopify顧客データを盗んだ容疑でカリフォルニア州の男性を起訴、賄賂は暗号資産と偽レビュー

米連邦大陪審が100以上のマーチャントのShopify(ショッピファイ)顧客データを盗んだ容疑で、カリフォルニア在住の人物を起訴したことが明らかになった。

起訴状によると、Tassilo Heinrich(タシロ・ハインリッヒ)容疑者は、Shopifyのカスタマーサポートエージェント2人と協力して「それらのマーチャントからビジネスを奪い」競争力を高めるためにShopifyの顧客からマーチャントおよび顧客データを盗んだとされ、加重個人情報窃盗および電信詐欺の共同謀議で起訴されている。また、起訴状では、疑惑のスキームの時点で18歳前後だったとみられるハインリッヒ容疑者が、詐欺行為を行うためにデータを他の共犯者に販売したとしている。

このセキュリティ侵害について直接知っている人物は、起訴状に記載されている被害企業がShopifyであることを認めた。

2020年9月、中小企業向けオンラインeコマースプラットフォームを提供するShopifyは、同社のカスタマーサポートチームに属する「ならず者メンバー」2名が「200未満の加盟店」を対象に犯したデータ侵害を明らかにした。Shopifyは「一部の店舗から顧客の取引記録を取得するスキームに関与していた」として、この2人の契約者を解雇したと述べていた。

関連記事:Shopifyが従業員によるデータの漏洩を発表

Shopifyによると、契約者たちは名前、郵便番号、住所、どの製品やサービスを購入したかなどの注文詳細を含む顧客データを盗んだとのことだった。Shopifyからデータ漏洩の通知を受けたある加盟店は、影響を受けた顧客の支払いカードの下4桁の数字も奪われたと述べており、これは起訴状でも確認されている。

また、BBCが報じたところによると、Kylie Jenner(カイリー・ジェンナー)の化粧品・メイクアップ会社「Kylie Cosmetics」も被害者に含まれていたという。

起訴状によると、ハインリッヒ容疑者はフィリピンにあるサードパーティのカスタマーサポート会社の従業員に報酬を支払い、キックバックと引き換えにスクリーンショットを撮るか、データをGoogleドライブにアップロードすることでShopifyの内部ネットワークの一部にアクセスしたという。ハインリッヒ容疑者はこの従業員に数千ドル相当の暗号資産を支払った他、従業員がカスタマーサービスを提供したがフィードバックを残していなかったマーチャントからのものと称して、偽のポジティブレビューを与えていた。起訴状によると、ハインリッヒ容疑者は一部のマーチャントの1年分のデータを受け取ったとされている。

ハインリッヒ容疑者は少なくとも1年間、Shopifyの内部ネットワークからデータを少しずつ吸い上げ、ある時はカスタマーサポートの従業員が寝ている間に「リモートアクセス」できないかと尋ねたという。

Shopifyの広報担当者であるRebecca Feigelsohn(レベッカ・ファイゲルソン)氏は、短い声明で次のように述べた。「ShopifyはFBIに協力し、2020年9月に起こった少数のマーチャントのデータに関わる事件を調査しました。以前に述べたように、関与した加害者はもはやShopifyで働いていません。犯罪捜査が進行中であるため、現時点ではこれ以上のコメントはできません」。

ハインリッヒ容疑者は2021年2月にロサンゼルス国際空港でFBIに逮捕され、2021年9月7日に開始される裁判に向けて、現在は連邦政府に身柄を拘束されている。彼は無罪を主張しているという。

【更新】本記事はShopifyによるコメントを加え更新された。

カテゴリー:セキュリティ
タグ:Shopifyデータ漏洩逮捕

画像クレジット:SOPA Images / Getty Image

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)