米国務省がランサムウェアグループDarkSideの情報提供に対し報奨金約11億円

米国務省は、悪名高いランサムウェアグループDarkSideのリーダーの特定や追跡に役立つ情報提供者に、最高1000万ドル(約11億円)の報奨金を提供し、ランサムウェア対策を強化する。

国務省によると「DarkSide亜種のランサムウェア事件の陰謀に加わったり、または関与しようとした」者の逮捕または有罪判決につながる情報に対しても、500万ドル(約5億6000万円)の報奨金を提供するとのことだ。これは、ランサムウェアグループのメンバーがランサムウェアDarkSideのカスタムバージョンを受け取り、身代金支払いの利益から多額を獲得するという、同グループのアフィリエイトプログラムを考慮してのものだろう。

「報奨金を提供するなかで、米国は世界中のランサムウェア被害者をサイバー犯罪者による搾取から守るというコミットメントを示しています」と国務省はいう。「米国は、ランサムウェア犯罪者を匿っている国が、ランサムウェア被害を受けた企業や組織に進んで正義をもたらすことを期待しています」。

ランサムウェアグループDarkSide指名手配のFBIのポスター(画像クレジット:FBI)

国務省によると、2021年初めにDarkSideがColonial Pipeline(コロニアル・パイプライン)を攻撃し、米東海岸で使用される燃料の45%を運ぶ長さ5500マイル(約8850キロ)のパイプラインを停止させたことを受けて、この懸賞金を開始した。

DarkSideは、サーバーがハッキングされた直後に活動を停止し、その後、BlackMatterというブランドに変更した。BlackMatterは9月に日本の大手テクノロジー会社オリンパスや、米国の食品・農業部門の2社を含む重要インフラとみなされる「複数の」組織を攻撃した。BlackMatterは今週、法執行機関からの圧力を受けて活動を停止するとも発表した。

今回の1000万ドルの報奨金は、国務省の国際組織犯罪報奨プログラム(TOCRP)の枠組みの中で提供される。TOCRPは、国際的な犯罪組織を崩壊させ、解体するための政府の取り組みの一環として、連邦法執行機関のパートナーとともに国務省が管理している。国務省によると、このプログラムが1986年に設立されて以来、1億3500万ドル(約153億円)の報奨金を支払ったという。

BreachQuestのCTOであるJake Wiliams(ジェイク・ウィリアムズ)氏は、国務省の多額の報奨金は、DarkSide以外へも波紋を広げるだろうとTechCrunchに話した。「これほど多額の報奨金があれば、犯罪者たちがお互いに敵対する大きな動機となります。おそらく、DarkSideへの具体的な影響よりも重要なのは、この行為がサービスとしてのランサムウェアのアフィリエイトモデル全体の信頼を損なうことだ。

「これは、法執行機関による最近のREvilへの潜入に乗じた動きで、殊更良いタイミングです。7月に行われたREvilに対する法執行機関の行動は、すでにオペレーターの間で大きな信頼問題を引き起こしていました。今回の動きは、そのくさびをさらに深くし、DarkSide以外にも影響を及ぼすものになるでしょう」。

報奨金は、増大しているランサムウェアの脅威を取り締まるためにバイデン政権が行っている一連の取り組みの中で、最新の動きだ。直近では財務省が、身代金支払いを助長したとしてSuexに制裁を科し、暗号資産(仮想通貨)取引所を取り締まった。

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

ランサムウェアBlackMatterのグループが米国食品業界を標的にしているとNSA、FBI、CISAが注意喚起

CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)、FBI(米連邦捜査局)、NSA(米国家安全保障局)は共同で勧告を発表し、ランサムウェア「BlackMatter」のグループが米国の食品・農業分野の2つの組織を含む、重要インフラとみなされる「複数」の組織を標的にしていると警告した。

当局は被害者の名前を明らかにしなかったが、アイオワ州に本拠地を置く農業サービスプロバイダーのIowa New Cooperativeは9月にランサムウェア攻撃を受け、ハッカーからシステム解除と引き換えに590万ドル(約6億7600万円)を要求された。この攻撃に続いて、ミネソタ州に本社を置く農場供給・穀物販売協同組合であるCrystal Valleyにも同様に攻撃を受けた。

今回の勧告では、BlackMatterの脅威の概要、その戦術(バックアップデータの保存先やアプライアンスの暗号化ではなくワイピングなど)、検知シグネチャ、緩和策のベストプラクティスなどが紹介されている。また、BlackMatterは、Colonial Pipeline(コロニアル・パイプライン)への攻撃の背後にあったとFBIが発表した、今はなきランサムウェア「DarkSide」が「再ブランド化した可能性」があるとの見方も広がっている。

BlackMatterは、ランサムウェア・アズ・ア・サービス(RaaS)を提供している。他のグループがそのインフラを借りることができ、被害者が身代金を支払えば、そこから上前をはねる。勧告では、BlackMatterの身代金要求額は、暗号資産(暗号資産)で8万〜1500万ドル(約916万〜17億円)だと指摘している。

当局はまた、特に重要インフラに属する組織に対し、サイバーセキュリティの防御を強化し、強力なパスワードや多要素認証の使用など、セキュリティのベストプラクティスに従うよう促している。加えて、すべてのOSを最新の状態に保ち、ホストベースのファイアウォールを使用し、すべてのバックアップデータを確実に暗号化することを推奨している。

ランサムウェアの攻撃を受けた組織は直ちに報告し、ハッカーからの身代金の要求を拒否することも勧告している。

「身代金を支払うことで、敵対者がさらに別の組織を標的としたり、他の犯罪者がランサムウェアの配布に関与するようになったり、あるいは違法活動の資金源となったりする可能性があります」と3機関は警告している。「身代金を支払っても、被害者のファイルが復元される保証はありません」。

BlackMatterは、日本のテクノロジー大企業のOlympus(オリンパス)も攻撃しており、同社のヨーロッパ、中東、アフリカのネットワークが停止する事態となった。

画像クレジット:Joe Raedle / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi