ウクライナ侵攻で、闇社会にも分断 親ロシア派と親ウクライナ派に分かれるサイバー犯罪集団:この頃、セキュリティ界隈で
ロシア軍のウクライナ侵攻が、闇社会にも分断を引き起こしている。サイバー犯罪集団が情報交換や取引の場として利用するロシア語の闇フォーラムでは、犯罪集団が親ロシア派と親ウクライナ派に分かれる「前例のないイデオロギー分断」が生じている。
ロシア軍のウクライナ侵攻が、闇社会にも分断を引き起こしている。中でもランサムウェアなどの攻撃を仕掛けるサイバー犯罪集団が情報交換や取引の場として利用するロシア語の闇フォーラムには、前例のない変化が起きているという。その影響で、ウクライナ支援国を狙ったサイバー攻撃のリスク増大が懸念されている。
企業や病院、自治体などを脅迫して身代金を脅し取るランサムウェア攻撃では、従来ロシア語圏のサイバー犯罪集団の関与が指摘されることも多かった。一連の攻撃は分業制で展開され、標的とする企業の情報を売買したり、自分たちのランサムウェアを宣伝して顧客やパートナーを募ったりする場として、ロシア語の闇フォーラムがよく利用されている。
ところが米Accentureのサイバーセキュリティレポートによると、ロシア軍のウクライナ侵攻をきっかけに、そうした闇フォーラム上で、犯罪集団が親ロシア派と親ウクライナ派に分かれる「前例のないイデオロギー分断」が生じた。
サイバー犯罪にかかわる集団はこれまで、単純な金銭目当て・営利目的で結び付き、共存していた。しかし2月24日のロシア軍侵攻で事情が一変。親ウクライナ派は、親ロシア派との取引や協力を拒むようになり、標的としてロシアの組織に狙いを定めるようになった。
一方、親ロシア派は、「ロシアの敵」とみなした西側諸国に対するハッキング活動への加担が増加。Accentureが10年以上もダークWebの監視を続ける中で、そうしたイデオロギー分断が起きたのは初めてだという。
その分断が、ウクライナを支援する西側諸国にとって不利になりそうな兆候も見えている。
ここ数年でランサムウェア攻撃が激化した背景には、狙った組織への初期潜入に必要なパスワードなどの情報を入手して闇フォーラムで転売する「初期アクセスブローカー」(IAB)の存在が大きかった。
ランサムウェアを操る集団は、そうしたIABのサービスを利用して攻撃の足掛かりとする。しかし今回の分断で、親ロシア派の集団としか取引しないIABや、親ロシア派を優遇するIABが現れたという。
追放されていたランサムウェア集団、復活の懸念も
ダークWebのイデオロギー分断はまた、ロシア語の大手闇フォーラムから締め出されていたランサムウェア集団を復活させるきっかけにもなったとAccentureは分析する。
2021年5月、ロシア語圏が拠点といわれる「DarkSide」が米パイプライン大手Colonial Pipelineを攻撃して大きな問題になったことで、米司法当局が取り締まりを強化。闇フォーラムは摘発を恐れてランサムウェア集団を締め出した。このためランサムウェア集団は攻撃に必要なツールの調達やパートナーの募集が難しくなり、攻撃能力が減退していた。
しかしそうした集団が大手闇フォーラムに復活すれば、欧米の組織を標的とする懸念は一層強まる。しかも攻撃を仕掛ける親ロシア派の犯罪集団は、敵とみなした国の重要インフラを標的とする「道徳的理由」を掲げるようになった。
実際にContiなど複数の集団が、西側の重要インフラを標的にすると宣言していて、ゼロデイの脆弱性調達に多額の予算を費やしている集団もあるという。
Accentureによると、ロシア政府支持を公言しているランサムウェア集団は、Contiの他「LockBit」「CoomingProject」などが知られる。「サイバー犯罪集団の動機が金銭狙いから政治的動機にシフトしたことで、西側の国家インフラに対する脅威は著しく増大した」とAccentureは言う。
こうした集団は資金力が豊富で、ゼロデイの脆弱性や発覚したばかりの脆弱性を悪用し、長期的な被害を発生させる能力がある。親ロシア派のフォーラム「RAMP」は、ウクライナやNATO加盟国の組織に不正侵入するための情報買い取りを持ちかけたとされる。
警戒すべきは金銭狙いの犯罪集団だけではない。CNNによれば、ロシア国家を後ろ盾とするハッカー集団も、対ロ制裁に対する報復行為を激化させる恐れがあるとして、米連邦捜査局(FBI)や国土安全保障省が民間企業や自治体に対策の強化を促している。
バイデン大統領は3月21日、ロシアのプーチン大統領が対ロシア制裁に対する報復措置としてサイバー攻撃を仕掛ける可能性があると述べ、直ちにサイバー防衛を強化するよう企業経営者に促した。
組織が被害を防ぐため、あるいは被害を最低限に抑えるためには、標準的なセキュリティ対策に情報の収集や予測・分析に基づく脅威インテリジェンスを取り入れて一層の防御を固めるとともに、事業継続計画の策定や、サプライチェーンパートナーにも厳格なセキュリティを求めるといった対策を徹底させる必要があるとAccentureは指摘している。
関連記事
- 英国防相に、ウクライナ首相をかたる偽電話 ロシア関与疑いで「必死の試み」と批判
英国のベン・ウォレス国防相は、ウクライナ首相をかたる人物から電話があったと、Twitter上に投稿した。ウォレス国防相は「彼は誤解を招くような質問をいくつも投げかけた」とし、不審に思い電話を切ったという。 - Anonymousが露TVをジャック ウクライナでの戦闘の様子を放送
匿名ハッカー集団「Anonymous」が、ロシアのテレビと動画配信サービスをハッキングし、ウクライナでの戦闘の様子を放映したと報告した。 - 企業全体の約3割「1カ月以内にサイバー攻撃を受けた」 ウクライナ侵攻やEmotetの影響で攻撃増加か
28.4%の企業が「1カ月以内にサイバー攻撃を受けた」と回答した──そのような調査結果を帝国データバンクは発表した。ウクライナ侵攻後に攻撃が増えたという声や、企業規模に関わらずEmotetの被害の声が挙がっており、注意が必要だ。 - NHK国際放送がロシアで放送中止 現地委託先「配信を停止せざるを得なくなった」
NHKは、国際放送「NHKワールド JAPAN」の英語テレビ放送を8日の未明からロシア国内での配信を停止した。理由は、現地の委託先から「(配信を)停止せざるを得なくなった」と連絡があったためとしている。 - 赤十字、ウクライナ避難民に支援物資としてSIMカード(60GB入り)を配布 「新世紀の救援物資」とTwitterで話題に
ロシアによるウクライナ侵攻の中、現地から避難する人が支援物資としてSIMカードを受け取ったことが話題になっている。ルーマニアの赤十字は、食料や水、衛生用品などに加えて、SIMカードも配布しているという。
Copyright © ITmedia, Inc. All Rights Reserved.