石油パイプラインを停止させた「ダークサイド」のパワー 身代金目当てに大企業を揺さぶる二重三重の脅し:この頃、セキュリティ界隈で(2/2 ページ)
一方でDarkSideは「善意」の側面もちらつかせる。アフィリエートが医療機関や教育機関、公共セクター、非営利組織などを標的とすることは禁止しているほか、手に入れた身代金の一部を慈善団体に寄付するとブログで吹聴したこともあるという。
今回のパイプライン攻撃についても、DarkSideが「政治に関心はない」と公言していることなどから、国家インフラを破壊する意図はなく、単純に多額の身代金が目当てだったようだとセキュリティ企業のFlashpointは分析している。
2020年からDarkSideの動きを追っていたというセキュリティ企業のIntel 471によると、DarkSideのアフィリエートはCitrixやリモートデスクトッププロトコル(RDP)といったソフトウェアの脆弱性を悪用して狙った企業に侵入し、ネットワーク内部で感染を広げる。
狙った企業への不正侵入に使うパスワードなどの認証情報を闇フォーラムで調達したり、ブルートフォース攻撃や詐欺メールなどの手口を通じて入手することもある。Colonial Pipelineがどのような経路でランサムウェアに感染したのかは現時点で分かっていない。
報道によると、Colonial Pipelineはハッカー集団に約500万ドル(約5億5000万円)相当の身代金を支払ったとされる。この事件と前後して、米首都警察が別のランサムウェア集団に脅迫され、東芝子会社の欧州法人もDarkSideの攻撃を受けるなど、被害は後を絶たない。Colonialの対応を支援したと伝えられるセキュリティ企業FireEyeによれば、DarkSideはこれまでに15カ国以上の組織を狙って攻撃を展開しているという。
こうした中で米政府が本格的な摘発に乗り出すと表明した矢先、事態が急展開した。Intel 471やKrebs on Securityの5月14日の報道によれば、DarkSideをはじめとする主要ランサムウェア集団やサイバー犯罪フォーラムが、相次いで閉鎖や営業中止を発表。「サーバが差し押さえられ、広告主や創業者の資金が未知のアカウントに移転された」と伝えているという。
当局が一斉摘発に踏み切ったのか、それとも犯行集団が身を隠しただけなのかは分かっていない。ただ、これまでの攻撃で巨額を次々と手に入れてきた集団が、実入りのいい身代金ビジネスからそう簡単に手を引くとは思えない。「ランサムウェア集団は、突然自分たちの過ちに気付いたのではなく、スポットライトから退こうとしているのだろう。多くの集団は内輪で活動を続け、新たな名称で再浮上して、ランサムウェアの亜種を更新する公算が大きい」とIntel 471は分析している。
関連記事
ランサムウェア被害は深刻化の一途、撲滅目指し官民が連携 3分の1は身代金払ってもデータ取り戻せず
既に企業が単独で対応できるレベルではなくなってきているランサムウェアの実態。
新型コロナ便乗やランサムウェアの脅迫、2021年はさらに激化も セキュリティ企業が予測
ランサムウェアが見せつけたWindowsの脆弱性「Zerologon」の威力
わずかな時間で組織内で感染が広がる危険性をはらむWindows Active Directoryの脆弱性。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。