ランサムウェアの問題を可視化するクラウドソースの身代金支払い追跡サイト「Ransomwhere」

新型コロナウイルスのパンデミックの乱気流で勢いづいたランサムウェアの攻撃は、サイバー犯罪者にとって大きな稼ぎ頭となっており、2020年は攻撃件数が増加した。

こうしたファイルを暗号化する攻撃は、今年もほぼ衰えることなく続いている。ここ数カ月だけでも、Colonial Pipeline(コロニアル・パイプライン)への攻撃で同社のシステムと東海岸の大部分へのガソリン供給が停止したり、食肉業者のJBSへのハッキングで世界各地の食肉処理場の操業が突然停止したり、今月はITベンダーのKaseyaへのサプライチェーン攻撃で数百人の下流の被害者がシステムから締め出されたりした

しかし、ランサムウェアの攻撃がニュースになることはあっても、その影響を完全に理解することはほとんど不可能だ。また、サイバー犯罪者の身代金要求に応じるなどのある種の決断が違いを生むかどうかもわかっていない。

Krebs Stamos Groupのセキュリティーアーキテクトであり、以前は米国のCybersecurity and Infrastructure Agency(サイバーセキュリティー・インフラストラクチャー庁、CISA)に勤務していたJack Cable(ジャック・ケーブル)氏は、クラウドソースによる身代金支払い追跡サイトRansomwhereを立ち上げ、この問題を解決しようとしている。

「Ransomwhereを始めようと思ったきっかけは、Katie Nickels(ケイティ・ニッケルズ)氏がつぶやいた、サイバー犯罪、特にランサムウェアの影響を誰も完全には把握していないという言葉でした」とケーブル氏はTechCrunchに語った。「現在、ランサムウェアの支払いに関する公的なデータを集めた場所がないことを知り、ビットコインの取引を追跡するのは難しくないことから、それをハッキングし始めました」

このサイトでは、サイバー犯罪者に支払われた身代金をビットコインで集計している。これは、ブロックチェーン上で取引を公開記録することで可能になった。このサイトはクラウドソースなので、誰もが提出できるランサムウェア攻撃の自己申告によるデータを取り入れている。しかし、すべての報告が正当なものであることを確認するために、報告の際にはランサムウェアの支払い要求のスクリーンショットを撮ることが義務付けられており、公開前にケーブル氏自身がすべてのケースを手作業で確認している。承認されたレポートの信憑性が疑われた場合、そのレポートはデータベースから削除される。

すでに急増しているこのデータベースには、個人情報や被害者を特定する情報は一切含まれていないため、サイバーセキュリティー業界や法執行機関の関係者は自由にダウンロードすることができる。

「ランサムウェアの経済性に関する現状を変えるための政策提案を検討する際には、そうしたアクションが成功したかどうかを評価するデータが必要になります」とケーブル氏は話す。「法執行機関は、Colonial Pipelineのハッキングで見られたように、支払った一部を回収する能力を持っているため、このサイトが彼らの努力をさらに支援できれば素晴らしいことです」

本稿執筆時点で、同サイトが捕捉した2021年の身代金支払いの総額は3200万ドル(約36億円)以上だ。これらの支払いの大部分は、JBSとKaseyaのハッキングを行ったロシアに関連するランサムウェアギャングであるREvilに支払われた。Ransomwhereによると、このグループは今年、1100万ドル(約12億円)以上の身代金をかき集めており、Kaseyaへの攻撃の一環として最近要求した7000万ドル(約78億円)が支払われると、その額は劇的に増加する可能性がある。

ダークウェブで最も人気のあるランサムウェア・アズ・ア・サービスの1つであるNetwalkerは、2021年は支払い額が630万ドル(約7億円)以上で2位となっている。Ransomwhereの集計によると、身代金の支払い総額では同グループが最も多く、同サイトのデータによると約2800万ドル(約31億円)に達している。

RangarLockerは460万ドル(約5億1100万円)、DarkSideは440万ドル(約4億8800万円)、Egregorは320万ドル(約3億5500万円)となっており、少なくとも現時点では、Ransomwhereのトップ5に入っている。

ケーブル氏によると、今後は、セキュリティーやブロックチェーン分析の分野の企業と提携して、彼らがすでに持っているランサムウェアの動きに関するデータを統合する方法を模索しているという。また、イーサリアムのような追跡可能な他の暗号資産(仮想通貨)をサポートする方法や、ビットコインの下流のアドレスを追跡する可能性についても検討している。

「Monero(モネロ)を使用している犯罪者を追跡することはほぼ不可能です」とケーブル氏は言う。「しかし、私は可能な限り全体像を把握したいと思っています」。

カテゴリー:
タグ:

画像クレジット:Bryce Durbin / TechCrunch

[原文へ]

(文:Carly Page、翻訳:Nariko Mizoguchi

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。