ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収
今回は「ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収」についてご紹介します。
関連ワード (Recorded Future、アメリカ、ハッカー、ランサムウェア、ロシア、暗号資産、米司法省等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
米国時間6月7日の午後、米司法省は、米国でパイプラインを運営するColonial Pipeline(コロニアル・パイプライン)が2021年5月にロシアのDarkSide(ダークサイド)と呼ばれるハッカー集団側に支払った暗号資産の身代金のうち、大半を回収したと発表した。支払われた暗号資産がハッカーグループの所有する複数のアカウント間を経由した動きを追跡し、連邦裁判所判事の承認を得て、そのアカウントの内の1つに侵入できたことで回収に成功したものだ。
2021年5月、同社へのサイバー攻撃により、主要なパイプラインが閉鎖を余儀なくされ、それが元でガソリンの買い占めによる燃料不足が引き起こされた(加えて、内部サーバーのオーバーロードとやらが原因で、その後パイプラインが再度閉鎖されたため苦境に陥った)ことを考えると、身代金回収の発表は気味の良い話であった。
しかし、実績のある連続起業家であり、政府や企業への攻撃を追跡して、独自のメディア手腕を発揮するセキュリティインテリジェンス企業Recorded Future(レコーデッド・フューチャー)を創設したChristopher Ahlberg(クリストファー・アルバーグ)氏によると、米国人はダークサイドを最初から過大評価してきたという。先に行われたインタビューの中で、同氏はダークサイドの運営方法について詳しく説明している。インタビューはここから視聴できるが、長いので会話の抜粋を以下に紹介する。
TechCrunch(以下「TC」):貴社の技術的な取り組みを大まかに教えてください。
Christopher Ahlberg(クリストファー・アルバーグ氏、以下「CA」):当社で行っているのは、インターネットをインデックスすることです。インターネットに書き込まれたすべてのデータを、電子の動きまで含めて把握しようとしています。いわば悪質なハッカーの頭の中に入り、どこで活動しているのか、彼らがデータを送信し不正なインフラを運営しているネットワーク上で何が起こっているのかを突き止めようとしているわけです。また、悪質なハッカーがさまざまな興味深い場所に残した痕跡を妨害するようにもしています。
TC:どのような顧客をお持ちですか。
CA:国防総省から世界有数の大企業まで、全部で1000ほどです。おそらく、3分の1は政府関係、別の3分の1は金融関係、残りは輸送機関を含むさまざまな業種です。
TC:貴社が提供するのは、攻撃を予測するサポートですか。それとも、手遅れになった事態で何が起きたかを突き止めるのでしょうか。
CA:両方です。
TC:どうやって危険を察知していますか。
CA:まずは、敵つまり悪質なハッカーを理解することです。大きく分けて2つの括りがあります。サイバー犯罪者と敵対する情報機関です。
ここ1、2カ月の間に世界や我々が注目している犯罪者は、ランサムウェアギャングです。彼らはロシアのギャングです。「ギャング」と聞くと、大きなグループ集団をイメージしがちですが、(しかし)通常は1人か、2~3人です。こういったギャングの規模を過大評価することはありません。
(一方で)情報機関は、非常に装備が整っており、大勢の人が(関与)しています。(我々の仕事は)1つには敵を追跡すること、もう1つは彼らが運営するネットワークを追跡すること、最後に、オンプレミスで実際のシステムにアクセスしなくても、サイバー攻撃のターゲットとなりうる人物のデータを入手することです。これら3つを、すべて自動化された方法で行います。
TC:情報機関と、これらロシア系ギャングの連絡係の間に交信があると見ていますか。
CA:簡単にいうと、我々の見解としては、これらのグループがロシアの情報機関から毎日、毎月、あるいは毎年のように任務を受けているわけではないと思います。しかし、世界の一連の国々、ロシア、イラン、北朝鮮は少し異なりますが、中国でもある程度は、政府がハッカーの成長を後押ししていることが観察されてきました。主にロシアでは、サイバー犯罪が規制されることなく野放しになっています。そして徐々に、FSB(エフエスビー)、SVR(エスブイアール)、GRU(ジーアールユー)といったロシアの情報機関が、それらのハッカーグループから人材を引き抜いたり、実際に任務を与えたりするようになりました。公式文書を見ると、長い時間をかけて、情報機関とこれらのグループがどのように結び付き、手を取り合ってきたかが分かります。
TC:サイバー攻撃の後、ダークサイドがBitcoin(ビットコイン)や決済サーバーにアクセスできなくなり、シャットダウンすると言った際には、どう思いましたか。
CA:もし、あなたがこのハッカー攻撃を仕かけた人だとしましょう。その時には、おそらくコロニアル・パイプラインが何かを全然知らなかったでしょう。「やばい、米国のあちこちの新聞に取り上げられてしまった」と思ったでしょう。そして、ロシアでおそらく数本の電話がかかってきて「なんてことをしてしまったんだ、どうやって隠そう」と考えたはずです。
一番簡単なのは「私はやっていない」というか「もうそのお金は失われた、サーバーにアクセスできなくなった」ということです。ですから、私はあれはフェイクだったと思います。痕跡を隠すために全部行っていたと思います。(そう仮定すると)後で、別の方法を試みていたこともわかっています。私たち、米国政府がすぐにこれらハッカーに反撃できると過大評価していたと思います。純粋にそう思い込んだわけですが、そんなにすぐにはできないでしょう。もちろんこれは、政府の内部情報か何かを見て言っているわけではありません。
TC:DarkSide(ダークサイド)は、フランチャイズのように運営されていて、個々のハッカーがソフトウェアを受け取り、ターンキープロセスのように使っていると書かれていました。これは新しい流れですか。今後もっと大勢の人がハッキングに関わるようになると思いますか。
CA:その通りです。ロシア系のハッカーがすごいのは地下で分散する性質を持っていることです。「すごい」というのは少し皮肉も込めてですが、実際ランサムウェアを書く人たちもいれば、彼らが提供したサービスを使って、システムに入り込みハッキングをする人たちもいます。また、ビットコインのタンブリングを通じて、ビットコインの取引を行う人もいるでしょう。興味深い点の1つは、エンドゲームで現金を手に入れるには、これらの換金処理を通らなければならないので、最終的により洗練されたビジネスになることです。マネーミュールが関係している可能性もあり、そのマネーミュールを運営する人たちもいます。彼らの多くは、クレジットカード詐欺を行っており、カードが有効かを確認したり、どうやってお金を引き出すかを考えたりするなど、一連のサービスを提供しています。これには、おそらく20種類ほどのサービスが関わっているでしょう。すべて、非常に高度に特化されています。これが、彼らが成功を収めている理由であり、対応するのが難しい理由でもあるのです。
TC:彼らは利益を分けているのでしょうか。もしそうなら、仕組みはどうなっていますか。
CA:はい、利益を共有しています。かなり効果的なシステムが運営されています。支払い方法が存在するという点で、ビットコインが、これを可能にする大きな要因となっていることは明らかです。(しかし)eBay(イーベイ)の出品者のような、ランキングや評価システムも持っています。整備された地下フォーラムが存在していて、これまでずっと彼らの運営場所となってきましたし、もしサイバー犯罪者内で詐欺を働く人がいるとすれば、それを告発することができるようなサービスも提供されています。これはインターネットと同じです。なぜインターネットがうまく機能するのか、それは非常に広く分散しているからです。
TC:貴社の顧客以外でも、安全を守りたいと思っている方々に何かアドバイスがありますか。
CA:どの業界がランサムウェアの攻撃を受けているかを示す円グラフを同僚が作ってくれました。興味深いことに、20の異なる業界にわたり、攻撃は非常に幅広く分布しています。コロニアル・パイプラインに関しては、多くの人が「ああ、石油関係ね」と思ったかもしれませんが、ハッカーはそこまで業界を気にしていません。一番動きが鈍いターゲットを狙ってきます。ですから、簡単に攻撃できるターゲットにならないことが大切です。
多くの企業が、基本を守り、システムにパッチを行い、(加えて)アップデートを確実に行っているのは良いことです。危険にさらされないよう、インターネットに置いておく情報をできるだけ減らすことです。外界と接する表面積をできるだけ狭めてください。すべての事に、取り扱うものにはすべて、強力なパスワードと二要素認証を使ってください。
簡単に狙われないための10項目から成るチェックリストを用意しました。昨今の非常に高度なギャングに対応するには十分ではないので、さらにしっかりとした対策を講じる必要がありますが、チェックリストにある基本を押さえておけば、かなりの効果が見込めます。
関連記事
・富士フイルムにランサムウェア攻撃か、ネットワークを遮断し調査
・コロナ後のオフィスに戻った従業員をハッカーが「おかえりなさい」フィッシングの標的に
・macOSのゼロデイを悪用し密かにスクショを撮る新たなマルウェア、アカウント情報も取得可能(11.4で修正済み)
画像クレジット:Getty Images
【原文】
On Monday afternoon, the U.S. Justice Department said it has seized much of the cryptocurrency ransom that U.S. pipeline operator Colonial Pipeline paid last month to a Russian hacking collective called DarkSide by tracking the payment as it moved through different accounts belonging to the hacking group and finally breaking into one of those accounts with the blessing of a federal judge.
It’s a feel-good twist to a saga that began with a cyberattack on Colonial and resulted in a fuel shortage made worse by the panic-purchasing of gasoline last month after the company shut down one of its major pipelines (and later suffered a second pipeline shutdown owing to what it described as an overworked internal server).
But Christopher Ahlberg, a successful serial entrepreneur and the founder of Recorded Future, a security intelligence company that tracks threats to the government and corporations and runs its own media arm, suggests that Americans have overestimated DarkSide all along. He explained a lot about the way its operations work last week in an interview that you can hear here. Shorter excerpts from that conversation follow, edited lightly for length.
TC: Broadly, how does your tech work?
CA: What we do is try to index the internet. We try to get in the way of data from everything that’s written on the internet, down to the electrons moving . . . We try to get into the heads of the bad guys, get to the where they hang out, understand what happens on the networks where they transmit data and run the illicit infrastructure — all of those things. And we also try to get in the way of the traces that the bad guys leave behind, which could be in all kinds of different interesting places.
TC: Who are your customers?
CA: We have about 1,000 of them in total, and they range from the Department of Defense to some of the largest companies in the world. Probably a third of our business is [with the] government, one third of our businesses are in the financial sector, then the rest [comprise] a whole set of verticals, including transportation, which has been big.
TC: You’re helping them predict attacks or understand what happened in cases where it’s too late?
CA: It can go both ways.
TC: What are some of the clues that inform your work?
CA: One is understanding the adversary, the bad guys, and they largely fall in two buckets: You’ve got cybercriminals, and you’ve got adversary intelligence agencies.
The criminals over the last month or two here that the world and us, too, have been focused on are these ransomware gangs. So these are Russian gangs, and when you hear ‘gang,’ people tend to think about large groups of people [but] it’s typically a guy or two or three. So I wouldn’t overestimate the size of these gangs.
[On the other hand] intelligence agencies can be very both well-equipped and [involve] large sets of people. So one piece is about tracking them. Another piece is about tracking the networks that they operate on . . Finally, [our work involves] understanding the targets, where we get data on the potential targets of a cyberattack without having access to the actual systems on premises, then tying the three buckets together in an automated fashion.
TC: Do you see a lot of cross pollination between intelligence agencies and some of these Russian cutouts?
CA: The short answer is these groups are not, in our view, being tasked on a daily or monthly or maybe even yearly basis by Russian intelligence. But in a series of countries around the world — Russia, Iran, North Korea is a little bit different, to some degree in China — what we’ve seen is that government has encouraged a growing hacker population that’s been able, in an unchecked way, to be able to pursue their interest — in Russia, largely — in cybercrime. Then over time, you see intelligence agencies in Russia — FSB, SVR and GRU — being able to poach people out of these groups or actually task them. You can find in official documents how these guys have mixed and matched over a long period of time.
TC: What did you think when DarkSide came out soon after the cyberattack and said it could no longer access its Bitcoin or payment server and that it was shutting down?
CA: If you did this hack, you probably had zero idea what Colonial Pipeline actually was when you did it. You’re like, ‘Oh, shit, I’m all over the American newspapers.’ And there are probably a couple of phone calls starting to happen in Russia, where basically, again, ‘What the hell did you just do? How are you going to try to cover that up?’
One of the simplest first things you’re going to do is to basically say either, ‘It wasn’t me’ or you’re going to try to say, ‘We lost the money; we lost access to our servers.’ So I think that was probably fake, that whole thing [and that] what they were doing was just to try to cover their tracks, [given that] we found them later come back and try to do other things. I think we overestimated the ability of the U.S. government to come rapidly right back at these guys. That will just not happen that fast, though this is pure conjuring. I’m not saying that with access to any inside government information or anything of the sort.
TC: I was just reading that DarkSide operates like a franchise where individual hackers can come and receive software and use it like a turnkey process. Is that new and does that mean that it opens up hacking to a much broader pool of people?
CA: That’s right. One of the beauties of the Russian hacker underground is in its distributed nature. I’m saying ‘beauty’ with a little bit of sarcasm, but some people will write the actual ransomware. Some will use the services that these guys provide and then be the guys who might do the hacking to get into the systems. Some other guys might be the ones who operate the Bitcoin transactions through the Bitcoin tumbling that gets needed . . . One of the interesting points is that to get the cash out in the end game, these guys need to go through one of these exchanges that ended up being more civilized businesses, and there might be money mules involved, and there are people who run the money mules. A lot of these guys do credit card fraud; there’s a whole set of services there, too, including testing if a card is alive and being able to figure out how you get money out of it. There are probably 10, 15, maybe 20 different types of services involved in this. And they’re all very highly specialized, which is very much why these guys have been able to be so successful and also why it’s hard to go at it.
TC: Do they share the spoils and if so, how?
CA: They do. These guys run pretty effective systems here. Obviously, Bitcoin has been an incredible enabler in this because there is a way to do payments [but] these guys have whole systems for ranking and rating of themselves much like an eBay seller. There’s a whole set of these underground forums that have historically been the places that these guys have been operating and they’ll include services there for being able to say that somebody is a scammer [meaning in relation to the] thieves who are among the cybercriminals. It’s much like the internet. Why does the internet work so well? Because it’s super distributed.
TC: What’s your advice to those who aren’t your customers but want to defend themselves?
CA: A colleague produced a pie chart to show what industries are being hit by ransomware and what’s amazing is that it was just super distributed across 20 different industries. With Colonial Pipeline, a lot of people were like, ‘Oh, they’re coming from the oil.’ But these guys could care less. They just want to find the slowest moving target. So make sure you’re not the easiest target.
The good news is that there are plenty of companies out there doing the basics and making sure that your systems are patched [but also] hit that damn update button. Get as much of your stuff off the internet so that it’s not facing out. Keep as little surface area as you can to the outside world. Use good passwords, use multiple two-factor authentication on everything and anything that you can get your hands on.
There’s a checklist of 10 things that you’ve got to do in order to not be that easy target. Now, for some of these guys — the really sophisticated gangs — that’s not enough. You’ve got to do more work, but the basics will make a big difference here.
(文:Connie Loizos、翻訳:Dragonfly)
ランサムウェアとは・・ - 警察庁
ランサムウェアとは・・. ランサムウェア ( Ransomware )とは、「 Ransom (身代金)」と「 Software (ソフトウェア)」を組み合わせて作られた名称であり、コンピュータウィルスの一種です。. このウィルスに感染するとパソコン内に保存しているデータを勝手に暗号化されて使えない状態になったり、スマートフォンが操作不能になったりしてしまいます。. また、感染し ...
ランサムウェア - Wikipedia
ランサムウェア(英語: Ransomware )とは、マルウェアの一種である。これに感染したコンピュータは、利用者のシステムへのアクセスを制限する。この制限を解除するため、マルウェアの作者が被害者に
ランサムウェアとは?感染経路や対策についてもわかりやすく ...
ランサムウェアとは、 感染した端末やそこに保存されているファイルを使用不能にし、その解除と引き換えに身代金(Ransome)を要求するマルウェア*(Malware) のことです。
ランサムウェア対策特設ページ:IPA 独立行政法人 情報処理 ...
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施
ランサムウェアはマルウェアと何が違うのか? | サイバー ...
ランサムウェアは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語である。ランサムウェアに感染すると、多くの場合、パソコンに保存したファイルやハードディスクが暗号化されてしまい、アクセスができ
ランサムウエア感染で“身代金”要求 日本企業で被害相次ぐ ...
【NHK】企業のパソコンなどに保管してあるデータを暗号化して、その解除と引き換えに身代金を要求し、支払いを拒んだ場合には、盗み取っ…
最も危険なランサムウェア:2021年トップ5 | カスペルスキー …
· ランサムウェアは、この5年で、個人のコンピューターを脅かすマルウェアから、企業ネットワークに深刻な危機をもたらす脅威へと 変貌しました 。
2021年も増加傾向のランサムウェア、被害に関する共通点とは ...
IPA『情報セキュリティ10大脅威』(2021)では、「ランサムウェアによる被害」が組織部門1位と、ランサムウェアによる攻撃に警戒を促しています。サイバー救急センターへの問い合わせ増加を受けて、ランサムウェアの動向とご相談から見えた共通点をご紹介します。
ランサムウェアの被害事例10選【2020最新版】
ランサムウェアには多くの種類があり、感染した際の症状や被害も異なります。なかでも、世界的に流行したものを事例とあわせてご紹介していきます。
【2021年最新】ランサムウェアの進化した攻撃の手口と被害の ...
ランサムウェアとは「感染するとデータを暗号化し読めなくして身代金を要求する」卑劣な不正プログラムです。カプコンやホンダなどに日本企業も狙われ、個人や中小企業、海外では学校・病院などの公的機関にも被害が広がっています。ランサムウェアとはなにか?またカプコンをはじめとする被害の事例について2020年から21年の最新情報をわかりやすく解説します。
