「ランサムウェア犯は企業の非公開情報を脅迫に利用している」とFBIは警告

FBI(連邦捜査局)は、複数のランサムウェアグループが、被害者に身代金の支払いを強要する手段として、合併、買収などの「重大かつ一刻を争う財政的事象」に関わっている企業を標的にしていると警告した。

今週FBIは、民間企業向け勧告の中で「サイバー犯罪者はしばしば、

重大な財務事象に関わっている標的企業の非公開情報を見つけ出し、身代金要求に従わなければ情報を暴露すると脅す手口をとっています」と伝えた。

「初期の予備調査段階で、サイバー犯罪者は非公開情報の存在を特定し、それを公表するという脅迫に使ったり、被害者に身代金を支払わせるよう誘導するゆすりの材料にしようとしています。記者発表、合併、買収など被害者の株価に影響する差し迫った事象は、ランサムウェア犯がネットワークを標的にしたり脅迫のスケジュールを決めるきっかけになります」とFBIはいう。

「被害者がすぐに身代金を払わなければ、ランサムウェア犯はこの情報を公表すると脅し、従わなければ投資家の反感を買うことになります」。

FBIは、企業に支払いを強要するために、ランサムウェアグループが交渉進行中の合併や買収の情報を利用している事例をいくつか特定したと語った。

2020年、ランサムウェアグループ、REvilの長年のメンバーが、被害者に身代金支払いを強要するために、NASDAQ証券取引所を利用することを推奨した。数週間後、別のランサムウェアグループは、交渉の際に被害者の上場株式に言及した。同じ年、別のランサムウェア攻撃を解析した結果、ハッカーが被害者のネットワークで規制当局への財務提出資料や今後のプレスリリースに関連する非公開情報を探すために使ったキーワードをいくつか特定した、とFBIは語った。

2021年4月、ランサムウェアのDarkSide(ダークサイド、その後BlackMatter[ブラックマター]に改名が、証券トレーダーと協力して支払わなかった被害者を罰しようとしていることを公表した。現在は閉鎖されているブログに投稿したメッセージで、犯人はトレーダーらに対し、被害企業の内部情報を提供するので、データがリークしてニュースが公表される前に株式を空売りできる、と言って連絡をよこすよう促した。

「私たちのチームとパートナーは、NASDAQなどの証券取引所で取引している多くの企業のファイルを暗号化しています」とロシアのハッキンググループの投稿に書かれている。「もし企業が支払いを拒めば、我々は公開前に情報を提供するので、あなたは安く株を手に入れることができます」。

FBIは以前から、サイバー犯罪者の身代金要求に屈しないよう企業に要請してきた。ハッカーを「つけあがらせ」、新たな企業を標的にして別の犯罪行為の資金源にすることになるからだ。しかし同局は「企業が機能不全に直面した時、上層部は株主、社員、顧客を守るためにあらゆる選択肢を検討することを理解している」ことを付け加えた。

今回の警告に先立ち、わずか数週間前にFBIは(CISA[サイバーセキュリティ・インフラストラクチャセキュリティ庁]、NSA[国家安全保障局]とともに)上述したランサムウェアグループ、BlackMatterが米国の食品農業分野に関わる2つの組織を含む、重要インフラストラクチャーとされる「複数の」組織を標的にしていたことを発表している。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。