身代金交渉の知られざる内幕 ランサムウェアグループのビジネスに迫る：ITmedia Security Week 2023 夏

サイバー犯罪者は何を考えているのか。身代金交渉の実態、拡大する犯罪グループの現状を紹介する。

[齋藤公二，ITmedia]

　アイティメディアが開催した「ITmedia Security Week 2023 夏」（開催期間：2023年5月29日〜6月5日）にArmorisの竹田春樹氏（執行役員　CXO《Chief x Officer》）が登壇した。本稿は同氏の講演「攻撃者は何を考えている？ 公開情報と海外捜査機関の動向から読み解くビジネスとしてのランサムウェア」を紹介する。

ランサムウェアの約6割が休日と祝日に確認、43％は深夜帯

　ランサムウェア攻撃の脅威は世界中に広がっている。背景にはランサムウェアを販売、リースなどの「サービス」として提供するRaaS（Ransomware as a Service）の存在がある。RaaSを用いることでランサムウェア攻撃を誰でも容易に実行できるからだ。つまり、RaaSがどのように活用されているかを理解することで、ランサムウェア攻撃の実態に迫ることも可能だ。

　竹田氏は講演の冒頭で「○○（グループ参加者の名前）さんはいる？」「休暇中ですよ」といったチャットのログを紹介した。これはよくあるビジネス連絡のように見えるが、実際はランサムウェア攻撃者同士が交わしたものだ。

　「ランサムウェア攻撃者グループの内部マニュアルや内部チャットなどの情報から、攻撃手法や攻撃者グループの活動内容を把握できます。攻撃者グループは企業の公開情報などを元に身代金の金額などを設定し、“ビジネスとして”活動しています。サイバー攻撃の被害を最小限にするためには、組織のリスクを把握し基本的な対策を講じることが重要です」（竹田氏）

　同氏によれば、日本国内では企業規模や業態を問わずランサムウェア被害が発生しており、2022年の被害レポートを集計すると、約6割の攻撃が休日と祝日に、その43％が深夜帯に発生していた。

攻撃グループのチャットログがリーク、身代金交渉の内容も明らかに

　ビジネスとしてサイバー犯罪者がランサムウェア攻撃などをしていることは海外の調査からも明らかだ。IC3（米国インターネット犯罪苦情センター）の調査によれば、手段としてはフィッシングメールやRDP（Remote Desktop Protocol）への侵害、ソフトウェアの脆弱（ぜいじゃく）性を悪用した攻撃が目立ち、業種業態に大きな偏りはない。

　竹田氏によれば、ランサムウェアグループには「Hive」「ALPHV」（BlackCat）、「LOCKBIT」の主に3つが存在し、これらによる被害額は2022年で3430万ドル（約46億円）規模だ。またSophosの調査によると、ランサムウェアなどの感染経路は脆弱性の悪用が36％、認証情報の不正アクセスが29％で、身代金の支払い金額は2022年の81万2380ドル（約1.1億円）から2023年には154万2333ドル（約2.1億円）に倍増している。

　こうしたビジネス活動を支えているのがRaaSだ。竹田氏は「RaaSでは開発者やオペレーター、アフィリエイトなどの役割分担が存在します。攻撃者は単独で動くだけでなく、認証情報を窃取して企業組織への侵入口を開拓するイニシャル・アクセス・ブローカーを雇って攻撃することもあります」と話す。

　実際にアンダーグラウンドフォーラムなどでは、組織への侵入経路を販売しているケースもある他、過去に攻撃グループから情報がリークされたこともある。ランサムウェアグループの「Conti」からリークされた情報では、ランサムウェアのソースコードや内部ドキュメント、内部チャット、各種ツールのコードなどを確認できた。

　「リークされたチャットログには、ロシア語で『2020〜2022年に誰から誰にどんな情報が送られたか』が記載されていました。ここから攻撃者グループ内で交渉時にどのような調整がされているのか、どのようなやりとりがあるのかも分かります。例えば『10万ドルの身代金提示があったけど、あの規模の会社では少ないと思います』『彼らなら50万ドルは支払えると思うよ』などです。やりとりの結果『データ消去の保証も含め、割引して80万ドル』などで提案しています」（竹田氏）

総勢80人がグループで活動、活動資金は月1700万円のケースも

　あるチャットログでは、サーバ運用費と給料を調整していた。ある攻撃者が「○○にサーバ費用を渡さないといけない」と給与を管理している攻撃者に相談すると、その攻撃者はサーバ管理の費用に詳しい別の攻撃者に「費用を教えてください」と事情を聞き、「給与が1000ドル、費用はサーバ毎に165ドル」といったサーバ運用費の情報を聞き出す。

　攻撃チームの編成や給与支払いに関するチャットログもあり、それによると、メインチームが62人、プログラマーチームが6人、リバースチームが6人、OSINT（Open Source Intelligence）チームが4人の計78人で構成される攻撃グループでは、月16万4800万ドル（当時のレートで約1700万円）の活動費用がかかると記載があったという。

　「攻撃グループは、非常に大きな組織体で資金を動かしています。2020年以降は『今日の給料誰か受け取った？』と確認していたり、予算を管理している攻撃者がチャット参加者に対して『あなたは誰？』と所属を確認したりしています。組織が大きくなり、チームの統制や管理が厳しくなっているようです」（竹田氏）

　リークされた情報だけでなく、捜査情報や逮捕情報から活動が明らかになったランサムウェアグループもある。米国司法省と欧州刑事警察機構（Europol）は2023年まで実施していた作戦の結果を公表している。竹田氏はこれについて「FBI（連邦捜査局）はHiveのインフラに侵入して復号キーを入手し、被害者に提供することで1億3000万ドルの支払いを阻止しました。Hiveのインフラを掌握していますが、このインフラはリークサイトや被害組織用パネル、アフィリエイト用パネル、管理者用パネル、DBサーバなどで構成されていました。Hiveのネットワークは匿名化されたTorネットワーク上に存在していて、本来のサーバのようにグローバルIPアドレスを特定することは困難でした。そこでインフラの脆弱性や設定ミスをついたり、内通者による潜入捜査を実施したりしてインフラを差し押さえたと推測されています」と解説した。

　現在も継続して捜査は実施されており、サーバ契約情報などから攻撃者グループの関係者を見つける可能性もあるようだ。

技術、プロセス、人の観点から基本的な対策を適切に実行することが重要

　このようなランサムウェアの現状に対して、企業はどのように対抗していけばよいのか。竹田氏は「ランサムウェア対策も標的型攻撃やマルウェア対策と大きく違いません。サイバー攻撃対策においては、基本的なことを適切に実行できているかどうかが重要です。被害原因の一つですが、侵入経路になりやすいVPN機器の脆弱性や弱い認証情報を使っているケースに対して、適切な管理を実施するだけで被害を回避できる可能性があります」（竹田氏）

　具体的な対策として竹田氏は「パッチマネジメントを確実に実施する」「セキュリティソフトウェアを過信しない」「資産管理を適切にして脆弱性対策などの抜け漏れが発生しにくい仕組みに改善する」「現在発生しているサイバー攻撃の脅威の周知」「自組織で発生した事例の共有」などを挙げた。

　竹田氏は最後に「サイバー攻撃の被害を最小限にするためには、組織のリスクを把握し、基本的な対策が重要です」と強調し、講演を締めくくった。