ITmedia NEWS > セキュリティ >
ニュース
» 2021年07月19日 11時14分 公開

姿を消したランサムウェア集団 被害企業が苦境、裏社会で裁判沙汰もこの頃、セキュリティ界隈で(1/2 ページ)

ダークWebでも仁義は必要と。

[鈴木聖子,ITmedia]

 大手企業を次々にランサムウェアで攻撃し、多額の身代金を要求していた集団が、相次いでインターネットから姿を消した。何が起きたのかは不明だが、政府機関が動いたとの説や、「出口詐欺」説なども飛び交う。この影響で被害企業が苦境に陥り、裏社会ではサイバー犯罪集団同士が契約違反で争う裁判沙汰に発展しているらしい。

 報道によると、ランサムウェア集団「REvil」(別名Sodinokibi)が身代金の交渉や盗んだ情報の暴露に利用していたWebサイトが、7月13日未明(米国時間)、突如としてつながらなくなり、同集団が使っていたDNSなどのインフラもダウンした。ロシア語のハッキングフォーラムでも、REvilのアカウントが停止されているという。

 REvilは米独立記念日の連休を控えた7月2日、米KaseyaのIT管理ソフトウェア「VSA」を狙って攻撃を仕掛け、VSAを使っていたマネージドサービスプロバイダー(MSP)やその顧客が被害に遭った。この攻撃にはVSAのゼロデイの脆弱性が悪用されていた。REvilはロシアを拠点とする集団で、米食肉大手JBSに対する攻撃にも関与したと伝えられている。

 REvilが姿を消した理由は不明だが、セキュリティ専門家はロシア政府または米政府の介入があったのではないかと推測する。米国のバイデン大統領は9日、ロシアのプーチン大統領と電話で会談してランサムウェア集団の取り締まりを要求。米国自らがロシアのサイバー犯罪集団のサーバを攻撃する可能性にも言及した

photo Ransomware Giant REvil’s Sites Disappear

 セキュリティ企業Mandiantの専門家は、REvilが自ら姿を消したのか、政府が介入したのかは不明だが、いずれにしても計画的にインフラを一斉にダウンさせる措置が講じられたと推測する

 ZDNetによれば、この影響で、被害に遭って身代金を支払った後に、REvilと連絡が取れなくなり、暗号化されたデータをうまく復旧できず苦境に陥っている企業もあるという。

 ランサムウェアをめぐっては、米大手Colonial Pipelineの石油パイプラインを停止させた「DarkSide」も5月中旬、「ブログ運営や決済処理などに使っていたサーバが差し押さえられ、広告主や創業者の資金が未知のアカウントに移転された」としてサービスの停止を発表した。その理由として、法執行機関の圧力や、米国からの圧力を挙げていたという。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.