ユーロポール=ヨーロッパ刑事警察機構は、身代金要求型のコンピューターウイルス、「ランサムウエア」で、各国の重要インフラにサイバー攻撃を仕掛けたとして、20日までに2人を検挙したと発表しました。
「ロックビット」とは何者か サイバー犯罪集団メンバー検挙か
世界中の企業などを標的にサイバー攻撃を繰り返してきたサイバー犯罪集団「ロックビット」。
そのメンバーと見られる2人を日本など各国の警察から協力を受けたヨーロッパの警察機構が検挙したと20日、警察庁が発表しました。
日本でも去年、名古屋港のコンテナターミナルが3日間、機能不全に陥ったほか、地方の病院なども相次いで被害にあっています。
「ロックビット」とは何者か。
今後、サイバー攻撃の心配はないのか。専門家に聞きました。
「ロックビット」を検挙か
2人は、世界中の企業などを標的に、ランサムウェアによる攻撃を繰り返している犯罪グループ、「ロックビット」のメンバーとみられています。
これは「Operation Cronos=オペレーション・クロノス」と名付けられた国際捜査で、日本やアメリカのFBIなど10か国の法執行機関が参加しています。
ロックビットの手口は
セキュリティー会社「三井物産セキュアディレクション」によれば、ロックビットは2019年の夏ごろから活動が確認されている国際的なハッカー集団。
その手口は、ランサムウエアを使ってターゲットの組織のサーバーに保管されたデータなどを暗号化して事業を停止に追い込んだ上、解除を引き換えに身代金を脅し取るというものです。支払いに応じなければ、インターネット上の闇空間=ダークウェブに自身が設けた「リークサイト」に機密情報を次々と公開してしまいます。
「抜きん出た存在」
三井物産セキュアディレクションの上級マルウェア解析技術者の吉川孝志さんによりますと、ランサムウエアを使う攻撃グループは世界で140あまりが確認されています。
去年1月からことし1月までの1年あまりで攻撃を受けた可能性があるのは5089件で、このうち、ロックビットによるものは1113件に上ります。
つまり全体の2割あまり、5件1件はロックビットによる攻撃という計算になります。
吉川孝志さん
ほかの犯罪グループと比べても攻撃件数が抜きん出ており、最も活発なグループで、世界にとって大きな脅威だ
警察庁によりますと、日本では、企業や病院など、これまでに100件以上の被害が確認されているということです。
2023年は、名古屋港のコンテナターミナルで、およそ3日間にわたりコンテナの積み降ろしができなくなる事態になりました。
また2021年には徳島県の町立病院で電子カルテのデータなどが暗号化され、およそ2か月にわたり産科などを除いて新規患者の受け入れを停止。2022年には大手タイヤメーカーや大手食品メーカーなども被害を受けたことがわかっています。
まるで「企業」
NHKでは専門家とともに、ここ数年、ロックビットの動きを追ってきました。
これまでの取材では、ロックビットが使っていたダークウェブ上のリークサイトは、まるで企業の公式ホームページのようになっていることを確認しました。攻撃した企業について紹介するページのほかにも、さまざまな仕掛けを施していました。
ランサムウエアを使ったサイバー犯罪組織の場合、ウイルスの開発などは組織が行っているものの、実際にそれを使って攻撃を行うのは「アフィリエイト」と呼ばれる「業務提携者」が担っています。
いわば、分業体制となっているのです。
ロックビットはリークサイトを通じて、広く「アフィリエイト」を募っていました。
まるで一般企業のように履歴書の提出や面接が用意されていて、こうした試験をパスすれば攻撃に参加できる仕組みになっていました。
悪の道に誘う「報奨金」
数年前には、エンジニアを悪の道に誘うサービスまで打ち出していました。世界中のIT技術者に対して、自分たち、ロックビットに関する「ぜい弱性」の情報を提供してくれれば、それを有償で買い取るというものでした。
これは一般には「バグ報奨金プログラム」と呼ばれるもので、ソフトウエアやサービスを開発・提供している企業が、さらに安全性を高めようと、外部の人から情報を受け付け、情報を寄せてくれた人には報奨金を支払うという仕組みです。
企業は、ホワイトハッカーたちが寄せてくれた情報で、製品やサービスのセキュリティーを高めているのです。
ロックビットは、この制度を、いわば悪用していたのです。
押収された「リークサイト」のいま
「現在、このサイトはオペレーション・クロノスなどの管理下にある」。
今回の捜査で、ロックビットのリークサイトは各国の捜査機関に「押収」された状態になっています。
捜査に参加した機関の国旗などが掲載されていて、サイトが押収されていることを示す文章が表示されていました。
さらに、押収前までは、被害企業名が一覧で書かれていたページも、代わりにプレスリリースが掲載されていたり、今回の逮捕がポーランドとウクライナで行われたことを紹介する文章に書き換えられたりしています。
このページでは、日本の警察が開発し、ユーロポールに提供したツールの紹介も行われています。
警察庁によりますと、実際に盗まれたデータの回復に役立てられたということです。
長年、ランサムウエアの攻撃グループの動向などを追ってきた吉川さんは、今回の摘発について、影響は大きいと指摘します。
吉川孝志さん
サイバー犯罪者はさまざまな国に分散して活動しており、さまざまな国の捜査機関などが連携する必要がある。日本の機関もしっかりとした存在感を示すことができていてほかの犯罪者にも非常に強力な抑止力になると考えられる
これで「終結」なのか?
今回の国際捜査で、はたして、彼らの犯行は止まるのか。残念ながら、難しいといわざるをえないと、吉川さんは指摘します。
これまでにもハッカー集団によるサイバー犯罪は、グループの一部のメンバーが検挙されるなどのケースはあったものの、その後、名前を変えるなどして活動を再開させるケースも多いといいます。
たとえば「ブラックキャット」を名乗るグループも去年12月に今回と同様に法執行機関によってサイトが押収されました。ところが、ブラックキャットはその数時間後にはサイトを復活させ、いまも攻撃を続けています。
実際、吉川さんが調べたところ、ロックビットのリークサイトのサーバーはすべてストップしているわけではなく、一部には、いまだ稼働しているとみられるものも見つかっています。
吉川孝志さん
彼らはまた新たなリークサイトを立ち上げ、攻撃グループの名前を変え、攻撃の継続を模索する可能性は高いと考えられる。国際的な圧力を維持し、追跡と摘発の努力を強化し継続することが重要だと言える
対策は?「基本を確実に」
一度、攻撃を受けてしまえば、事業が困難になることもありうるランサムウエアによるサイバー攻撃。私たちは、どう備えればいいのか。
吉川さんによれば、ランサムウエアの攻撃では、業務でリモートから組織内へアクセスするために利用するネットワークの境界にある機器が狙われることが多いといいます。
具体的には「VPN」や「RDP」などのぜい弱性が狙われたり認証情報が盗まれたりするといったケースです。
ぜい弱性への対応は、機器や基本ソフト=OSを最新の状態に保つことが最も重要で、アップデートを確実に行う必要があります。
さらに本人確認のための方法を複数用意する「多要素認証」の導入なども求められます。
また最近、吉川さんが見落としがちなケースとしてあげるのは、メール経由での感染です。
ランサムウエアとは無関係にみえる別のマルウエア=悪意のあるプログラムにメールを通じて感染した場合でも、あとからランサムウエアをもってきて攻撃する手口もあるということです。
万が一、攻撃されても、すぐに復旧できるよう、データのオフラインでのバックアップを行うことのほか、事前に対応計画を策定しておくことなども重要です。
吉川孝志さん
対策の多くは従来から言われてる基本的なものだが、やはりなかなかできていないからこそ攻撃が続いてしまっている。基本的な対策を改めて見直し、多層的に取り組んでほしい
国境なきサイバー空間で、長らく捜査の手が及ばなかったハッカー集団ですが、近年、これまでにない国際連携によって、少しずつ、事態は動き始めています。
ユーロポールは、捜査を通じて収集された膨大な量のデータが法執行機関に保管されていることを明らかにしていて、今後、グループのリーダーなどの検挙などに向けて活用されるということです。
日本の警察庁も、外国の捜査機関との連携をさらに強化し、取り締まりや、実態解明を進めるとしています。
企業の運営者やそこで働く私たちは、こうした捜査を見守りつつ、攻撃から確実に身を守る取り組みを進める必要があります。