ロシア系ハッカー集団の手口はどうなっているのか？ まるで“会社員”のように動く：世界を読み解くニュース・サロン（3/5 ページ）

[山田敏弘，ITmedia]

盗んだデータの分析担当者や交渉人も

　Contiなどランサムウェア集団は、ターゲットを決めるのに企業などのビジネス規模を重視する。これだけの担当者が絡んだ組織が動く以上、それなりの金額を身代金として支払う能力がある企業を狙う。そのために、企業のWebサイトやその他のオープンな情報（OSINT）を調べ、ビジネス規模を確かめてから、標的にするかどうかを決めている。その役割を、組織内の「OSINTスペシャリスト」が担っている。

　彼らはさらに、組織のブログなどで交渉を有利に進めるために、攻撃の事実を喧伝（けんでん）することもある。加えて、盗んだデータを分析する担当者も存在している。

　こうして集められた標的情報をもとに不正アクセスを行って、データを盗み暗号化する「ハッカー」のチームが存在する。ハッカーは標的の内部に入り込むとシステム内を動きながら、より高いシステムの権限を獲得していく「権限昇格」を実施する。それによって、システム全体をコントロールして、広範囲でのランサムウェアの感染や情報搾取を可能にする。

データを盗み暗号化（画像はイメージ）

　そして被害組織と身代金の交渉をする「ニゴシエーター」もいる。電子メールなどのやりとりのみならず、場合によっては電話で企業などとも直接、身代金などについて脅迫を行うという。実は身代金の額は交渉次第の場合もあり、要求額が下がるケースもあると報告されている。「応相談」ということらしい。

　そしてContiにはファイナンス部門もあり、入手した身代金のマネーロンダリングなどを行っている。

　まとめると、まずランサムウェアのツールを周到に準備し、目星をつけた攻撃先についてオープンソースの情報などを調べて標的を定め、サイバー攻撃を行う。そうした準備が整うと、あとは交渉担当者が身代金を支払うよう標的とやりとりをする。