ランサムウェアによる攻撃は、7年ほど前に本格的に始まり、現在は世界中で爆発的な勢いで増加している。つい最近では、英人気サッカーチームのマンチェスター・ユナイテッドもやられたし、アメリカでは州政府など自治体もやられまくっており、社会問題化している。
攻撃者の手口は、攻撃者が組織や企業に狙いをつけ、
いったい、このやっかいな攻撃を仕掛けているのは誰なのか? ランサムウェアによる攻撃を行う犯罪集団は相当数あるが、特に最近増えている「二重搾取」を繰り返している攻撃者について、国外の専門家などへの取材から迫ってみた。その上で、企業としてはどんな対策を取るべきなのかについても考察したい。
代表的ランサムウェア「Maze」
この二重搾取スタイルで攻撃を続けていた代表的なグループは「Maze」(メイズ)と呼ばれるランサムウェアを使用するグループだ。
このグループは、インターネットの地下ネットワークであるダーク(闇)ウェブに自分たちのウェブサイトを持っており、盗んだデータなどを暴露するのに使うことでも知られていた。またMazeを使っているこのグループは、他のランサムウェアを使用する攻撃者集団とも協力しているとされる。
Mazeによる攻撃は2019年5月ごろから頻発するようになり、世界中で猛威を振るった。システムを暗号化して数百万ドルという高額な身代金を要求するだけでなく、最大限カネを得るために侵入先から情報も盗んでいく。企業が暗号化解除に身代金を払わなかったり、情報流出の脅しにカネを払わないと、ダークウェブなどで情報を公開したり、転売したりするのだ。
ところが、なぜかこのMazeを使用していたグループは、2020年11月に突如ダークウェブ上で活動終了を発表した。理由は不明だ。捜査の手が伸びてくるのを警戒したのか、新たな組織に生まれ変わるつもりなのか、はたまたブラフなのかはわからない。
だが、世界中の組織や企業に攻撃を仕掛け、大金を巻き上げて来た彼らが、その“ダークビジネス”をいとも簡単に放棄するとは思えない。名前やグループの編成、あるいはその形態を変え、必ず新たな攻撃を仕掛けてくるものと考えたほうが良い。
そのためにも知っておきたいのが、Mazeを使うグループの正体だ。海外の情報関係者に聞くと、「ロシア政府系のハッカーが絡んでいる」と指摘した。特にMazeに関係していると目されているのが「TA505」と呼ばれるグループだ。TA505はロシア政府とも繋がりのあるロシア系ハッカー集団として知られている。
別名「イーブル・コー」とも呼ばれるTA505は、基本的には金銭目的の攻撃者ではあるが、ロシア政府系組織が関係しているということもあり、目的は金銭だけではなく、企業としての評判を貶めるといった動機もあると見られている。彼らの技術力は非常に高い。なにしろ彼らが使うマルウェア(不正なウイルスなどのプログラム)には、ロシア系の企業や団体、個人には被害を与えないようプログラムされているものもあるくらいだ。
TA505は、2014年から活動を活発化。もともとは金融機関などを中心に狙っていて、被害は米国から中東にまで及んでいる。米国務省とFBI(米連邦捜査局)は、グループのリーダーであるロシア人を指名手配、逮捕につながる情報に500万ドルの報奨金を設定している。