ランサムウェア集団「Conti」幹部はこの男――米政府が13億円の賞金、闇サイトで情報募る：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　米国務省が最大1000万ドル（約13億円）の賞金をかけ、ランサムウェア集団「Conti」の幹部とされる5人についての情報提供を呼び掛けた。うち一人については初めて写真を公開。匿名で情報を提供できる専用のTorサーバを開設し、複数の言語で闇サイトなどに賞金情報を掲載している。

　米政府が求めているのは、「米国の重要インフラを標的として、外国政府が関与する悪質サイバー活動」に関わったとされるContiのメンバー5人の情報。それぞれ「Tramp」「Dandis」「Professor」「Reshaev」「Target」というハンドルネームが付いている。中でもTargetと呼ばれる男については初めて顔写真を公開し、「あなたはこのハッカーたちを知っていますか？　ダークWebでぜひ情報提供を」と呼び掛けた。

　Contiは盗んだデータを暗号化して人質に取った上、身代金を払わなければ情報を暴露すると脅す「二重の脅迫」の手口で知られる組織。「Trickbot」「Wizard Spider」などのマルウェアにも関与しているといわれる。

　これまでに世界で1000以上の企業や病院、公共機関などに対する攻撃に関わったとされ、米連邦捜査局（FBI）によれば、被害者から脅し取った身代金の総額は1月時点で1億5000万ドルを超すと推定される。

米連邦捜査局（FBI）の記事

　Contiは2月、ロシアのウクライナ侵攻を受け、ロシア政府を全面的に支持すると表明して注目を浴びた。しかしこれに対抗してTwitterでContiの内部情報をリークする「＠ContiLeaks」というアカウントが開設され、Contiメンバー同士の会話のログ記録や、Contiランサムウェア関連のソースコードなどを次々に暴露。普通の企業のような組織構造や、従業員として雇われたメンバーの実態が明らかになっていた。

　実際、米国務省が今回手配した5人も、企業の管理職のような役割を担っているらしい。PC系ニュースサイトのBleeping Computerがランサムウェアに詳しいサイバーセキュリティ企業Advanced Intelのビタリ・クレメズCEOの話として伝えたところによると、それぞれ以下のような役職にあるという。

Tramp：「BlackBasta」と呼ばれるランサムウェア運用のオーナー兼リーダー。かつてContiのランサムウェア運用を率いる1人だった

Dandis：ランサムウェア運用のテクニカルマネジャー兼オペレーターやペンテスターを管理するリーダー

Professor：ランサムウェア「Ryuk」のリーダーの一人で、技術レベルのランサムウェア運用責任者

Reshaev：Ryuk／Contiランサムウェアの中核的なリーダー／開発者兼オペレーター

Target：Ryuk／Contiオフィスを運営するオフィスマネジャー兼チームリーダー。法執行機関の経歴の持ち主

Bleeping Computerの記事

　ただしContiそのものは5月の時点で活動停止が伝えられていた。Advanced Intelによると、Contiの公式サイトや交渉サービスサイト、チャットルームなどのインフラは5月に軒並みダウンして、被害者を恐喝する目的で盗んだデータをアップロードしていた宣伝サイト「Conti News」も実質的に機能しなくなった。

Advanced Intelの記事

　その直前には中米コスタリカ政府機関のITシステムに大規模な障害を発生させ、大統領が国家非常事態を宣言する事態を引き起こしていたが、2月にロシア支持を表明（直後に撤回した）。これをきっかけに、注目を浴びてContiLeaks経由で情報を暴露され、評判が低下してランサムウェア稼業が成り立たなくなっていたと思われる。

　一方、解散したのはContiのブランドのみで、Contiの組織自体は存続しているとAdvanced Intelは指摘する。Contiに限らず、ランサムウェア集団は摘発されたり衰退したりしたとしても、何度も名前を変え、姿を変えては再浮上し、メンバーもランサムウェアに関与し続ける。Conti自体、2019年に猛威を振るったRyukの後継だったといわれている。

　「Contiの名の元で結成され、活動してきた者たちは脅威となる活動を続けるだろう。その影響は違った形で現れる」とAdvanced Intelは予想している。