プリンターが止まらない 戦慄のランサムウエア 被害企業が語った
「最も注意すべきグループ」
企業などのシステムに侵入しデータを暗号化。事業を立ちゆかなくさせた上で、暗号化を解除してほしければ、身代金を支払えと要求する。支払いに応じなければ、暗号化したデータを自身のリークサイトで次々と公開する。
吉川さんがまとめたところ、ことし9月までの1年間で被害があったと指摘されているのは、全世界で2928件。このうち3割がLockBit3.0によるものだ。
▽5月には大手衣料品チェーン「しまむら」、そして、 ▽9月には大手食品メーカー「明治」の海外の子会社などが被害にあっていて、 ことしだけで、その数、21件に上り、月に2組織ほどのペースだ。
日本で確認されている最も被害が大きく及んだのは、去年、徳島県つるぎ町にある町立病院で起きたものだ。電子カルテなどのデータが暗号化され、およそ2か月にわたり産科などを除いて新規患者の受け入れを停止する事態になった。
そこでは「最も古い国際的なランサムウエアグループであり、国や言語、年齢、宗教の垣根を越え地球上の誰であっても我々と仕事ができる」とうたっている。 一般にランサムウエアを使ったサイバー犯罪組織の場合、ウイルスの開発などは組織が行っているものの、実際にそれを使って攻撃を行うのは「アフィリエイト」と呼ばれる「業務提携者」が担っている。いわば分業体制だ。 「誰であっても我々と仕事ができる」というのは、つまり、アフィリエイトは、サイバーセキュリティーの知識さえあれば、誰でも「実行者」として、LockBit3.0とともに、サイバー犯罪に参画できる可能性があることを意味している。 アフィリエイトになりたければ、一般企業のように履歴書の提出や面接が用意されており、こうした試験をパスすれば攻撃に参加できるのだ。
それによると、ターゲットは、営利企業のほか非営利団体や収入がある教育機関、それに製薬会社も含まれている。さらに、医療機関は美容整形などの一部に関して攻撃は許可されるという。 逆に言えば、患者の死に直結する重要な医療機関を暗号化することは許可しない。ただ、データを窃取することはOKだとしている。吉川さんは、LockBit3.0が、細かく攻撃対象の範囲を明確化するのは、いたずらに社会を刺激しないようにして当局からの監視をそらす目的があると分析している。 (吉川さん) 「攻撃グループにとって重要なのは身代金の獲得だ。社会的に注目を集めすぎないよう、攻撃とその影響のバランスを保ちながら、活動をより長く続けていくという意図があるのではないか」
これは一般には「バグ報奨金プログラム」と呼ばれる。ソフトウエアやサービスを開発・提供している企業が、さらに安全性を高めようと、外部の人から情報を受け付け、情報を寄せてくれた人には報奨金を支払う。企業側は、ホワイトハッカーたちの情報で、製品やサービスのセキュリティーを高めていく。 こうした制度を使って、金銭を稼ぐ、「賞金稼ぎ」=バグハンターと呼ばれる人たちもいる。LockBit3.0は、この制度を、いわば悪用している。 報償の対象になる情報として、具体的には、ランサムウエア本体やウェブサイトなどに関するぜい弱性からランサムウエアなどの機能改善につながるアイデアなどまで募集している。バグを見つけた場合、「FBIの捜査官やセキュリティーの研究者であろうと、地球上のすべての人間に1000ドルから100万ドルまでの報奨金を支払う」としている。 実際、9月中旬に、LockBit3.0は、最初の報奨金の支払いを行ったと発表。情報提供者とのやりとりの一部を公開していて、それによると、捜査官やサイバーセキュリティー関連企業の内通者からの情報であったことが示唆されている。
「公開されたやりとりが事実だとして、相手が捜査官やサイバーセキュリティ関連企業の人物であっても平等に報奨金を実際に支払うとなると、これを見て、バグ報奨金プログラムに参加しようとする人が増える可能性が懸念される。これまで守る側にいた者たちが悪の道へ染まりやすくなるかもしれないという懸念が現実になってきている感がある」
セキュリティー関係者から9月中旬、記者のもとにある情報が寄せられた。 「LockBi3.0のビルダーが漏えいしている」
その懸念は的中。 一週間もたたないうちに、流出したビルダーを自分たちのランサムウエアとして転用し、攻撃に使用したグループが確認された。
しかし、LockBit3.0はこれを否定。「単にプログラマーを解雇しただけだ」とするコメントを出した。現時点での見立てとしては、何らかの事情で仲間割れが起き、解雇されたプログラマーが暴露した可能性が考えられている。 ただ、今回の漏えい騒動が犯罪活動に与えた影響は限定的のようだ。リークサイトでは、相変わらず、日々、新たな被害組織のリーク予告が掲載され続けている。 吉川さんは、今回の漏えいは、LockBit3.0を直接壊滅させるような打撃にはならないとみる。しかし、こうして「内部」からほころびが出たことで、ことし崩壊した、ある犯罪グループがある。 「Conti」だ。
ところが2月、ウクライナ侵攻を行ったロシアを支持する声明を発表すると、ウクライナを支持する一部のメンバーが反発したのか、内部情報を大量にリークされ始めたのだ。最終的にはランサムウエアの設計図「ソースコード」も暴露され、6月中旬、自身のサイトが閉鎖。活動は事実上停止している。
「LockBit3.0は、バグ報奨金プログラムで、ハッカーからの挑戦を受け付けているように『外部』からの試みに対しては自信がうかがえる。しかし、一方で『内部』からの試みに対しては脆弱であり、十分に意識できていないのではないか」
その答えは否だ。 (吉川さん) 「Contiのメンバーらはその後、他のグループに分散した可能性が高い」
「コールバックフィッシング」と呼ばれる手口。 ターゲットに対して、電話番号つきのメールを送り、被害者が電話をかけると、悪意のあるソフトをインストールさせ、その後、遠隔操作でランサムウェアなどに感染させてしまうものだ。これは古典的な方法で、「ソーシャルエンジニアリング」と呼ばれている。 (吉川さん) 「ネットワークのぜい弱性を突くなどの攻撃手法は、防御が世間に徐々に認知されてきたことで、攻撃を成功させ続けることが少しずつ難しくなってきた側面がある。その一方で人間をだますことはいつの時代も容易であり、効果的なアプローチであると改めて認識している可能性がある」 吉川さんがまとめたところ、Contiの活動が減退したことし4月から入れ代わるように「Quantum」や「Black Basta」などの活動が活発化し、被害が相次いでいて、元メンバーたちが分散して、活動を継続していることをうかがわせる状況だという。
たとえば、外部から社内システムにアクセスするための「VPN」やリモートデスクトップといった仕組み。 ▽認証情報が漏れたり、盗まれたりしていないか。 ▽ソフトウエアを古いバージョンのままで使っていないか。 ひとつひとつ、確実に取り組むべきだ。 (吉川さん) 「認証情報の強化、多要素認証やオフラインバックアップ、アクセス制限、社内ネットワークやシステムの監視強化など複数の観点を多層的に組み合わせて対策してほしい。加えて、他のコンピューターウイルスがランサムウエアを呼び寄せて感染するケースもある。一見関係の無いようなウイルスの感染がランサムウエアにつながるという事実を知っておくことも大切だ」
日本も手をこまねいているわけではない。警察庁は、ことし4月、サイバー犯罪を捜査する専門部局を立ち上げた。ユーロポール=ヨーロッパ刑事警察機構に、はじめて専門の職員を派遣し、各国の捜査機関との情報共有なども強化している。 これまで、日本の企業がランサムウエアの被害にあっても、本格的な捜査につなげられなかったのが実情だが、捜査当局も「管轄」にとらわれることなく、世界各国と連携して捜査に本腰を入れていくことが求められている。
日本の有名企業から病院まで
「2.0」⇒「3.0」
“命“は厳禁 “盗む”はよし
悪の道に誘う「報奨金プログラム」
「攻撃キット」漏洩
一体誰が漏らしたのか?
「転職」すればいいだけ
確実にセキュアにするしかない
動き出す世界の捜査機関