追跡 記者のノートから“最強”ハッカーの手口とは~流出した“攻撃マニュアル”に迫る

2021年10月1日不正

サイバー攻撃に使う「攻撃マニュアル」が、ネット上に流出した。

それも、世界各国で大きな被害を出しているハッカー集団のものだという。

それって、どういうこと?最強のハッカー集団の手口とはいったい?

攻撃マニュアルが流出

ファイルの流出が確認されたのは、日本時間の8月5日夜。

情報セキュリティー会社の解析技術者の吉川孝志さんが、ロシアのある闇サイトを監視していた。

見つけたフォルダのタイトルは「勤勉な労働者のためのマニュアルとソフトウェア」。

中を開くと、「手動でウィンドウズのウイルス対策ソフトを無効にする方法」とか、「自動でパスワード破りの総当たり攻撃する方法」などのファイルが。

さらに、ハッキングで侵入した組織の中にどのようなサーバーや端末があるかを探し出すツール。

盗み取ったデータをクラウド上に流出させるツール。

パスワードのリストも含まれていた。

ハッカー集団が使用する「攻撃マニュアル」と見られるものだった。

流出したマニュアル類

ファイルに含まれていた「Conti」の文字。

ランサムウエア=身代金要求型のウイルスを使ったサイバー攻撃で知られる集団のものと見られた。

ランラムウエアを使ったサイバー攻撃は、ハッキングした企業のデータを暗号化し、その解除と引き換えに、身代金を要求、支払いを拒んだ場合は、データをネット上で公開するとさらに脅迫する手口だ。

ことし5月アメリカ最大級のパイプラインが、別のハッカー集団に攻撃されて停止するなど、世界で被害が深刻化している。

「Conti」は、最近、最も多くの被害を出しているとされるグループだった。

さらに詳しく見ていくと、
ファイルには、
▽バックアップデータを保管したサーバーに侵入する方法、
▽標的に応じて、どのような種類のファイルを盗み取ればよいのか、
また
▽パスワードを使わずに基幹サーバーに侵入できる「ゼロログオン」と呼ばれるぜい弱性を突いた攻撃を行う方法などが記載されていた。

データの窃取方法が書かれたマニュアル(画像の一部を加工しています)

犯行の手口を、詳細に記したハッカーの攻撃マニュアル。

いったい、だれが流出させたのか。

闇サイト上では、「Conti」と、仕事をしたというハッカーが、金の支払いをめぐって不満を持ち、流出させたという趣旨の書き込みが見つかった。

支払いへの不満を示す書き込み(画像の一部を加工しています)

吉川さんは、「攻撃を行った際に首謀者から支払われた報酬が当初提示された金額より少なかったため不満を抱いた可能性がある」と指摘する。

ランサムウエアを使ったサイバー攻撃は、「Conti」のように、ウイルスを開発し、身代金の交渉も行う「オペレーター」と呼ばれるハッカー集団と、ウイルスを使って実際の攻撃を行う「アフィリエイト」と呼ばれる実行部隊とが分業する体制になっていると見られている。

流出させたのは、実行部隊の誰か、の可能性があるというのだ。

さらにランサムウエアの開発者や実行部隊のメンバーを募集する書き込みも見つかった。

そこには、週5日のリモートワークで、有給休暇あり、などと記されていた。

一見、悪くない労働条件に見えるが、雇われた側が不満を抱えたということなのか。

勤務形態などを記したハッカーの募集要項(画像の一部を加工しています)

一方で、吉川さんはファイルを分析することで、ハッカーがどこを狙うかが分かり、対策のヒントになると指摘する。

三井物産セキュアディレクション 吉川孝志 上級マルウェア解析技術者
「安易なパスワードだけでなく、バックアップのデータすら狙われることが分かりました。セキュリティーソフトを入れるだけで安心せず、外部からの侵入経路を極力ふさぎ、不審なプログラムをいち早く検知するような対策が必要です」

暗号解除の鍵が流出

「攻撃マニュアル」の流出から1週間後。

吉川さんは、ふたたび、同じロシアの闇サイト上で興味深い発見をした。

今度は、「REvil」というハッカー集団が、攻撃で暗号化したファイルの暗号を解く「鍵」が流出したのだ。

「REvil」は、ことしの春以降、日本企業でも、鹿島建設や計測機器メーカーのキーエンスのドイツの子会社などを攻撃したことが明らかになっている。

7月には、アメリカのIT企業「カセヤ」も被害を受けた。

この会社は、法人向けのソフトウエアを世界各国の企業に販売していたため、そのソフトウエアを踏み台に、ランサムウエアによる攻撃が各国の企業に広がり、大きな被害が出た。

そこで、FBI=連邦捜査局が捜査を開始するなど、アメリカ政府を挙げた動きとなり、その直後、「REvil」は、突如活動を停止した。

今回、流出したのは、「カセヤ」への攻撃で暗号化されてしまった複数の組織・企業のデータの暗号を解く、「マスターキー」とともいえる「鍵」だった。

「マスターキー」にあたる文字列が書かれた投稿

ランサムウエアによる攻撃を行うハッカー集団は、攻撃相手の組織のサーバーのデータを「暗号化」し、身代金を要求する。

身代金を支払えば、復号用の「鍵」が送られてきて、暗号を解除出来る仕組みだ。

8月11日、闇サイト上に、「誰かがREvilの解読キーを必要としているなら、ここにアップした。グッドラック」との書き込みと共に、英数字からなる文字列が公開された。

ただ、この文字列は「鍵」にあたるものの、これだけでは復号できなかった。

復号には、より長い文字列からなる「復号ツール」を使う必要があった。

吉川さんは、別のサイトで、REvilの「復号ツール」のプログラムを入手。

そのプログラムの中の「鍵」にあたる部分だけを、入手した「マスターキー」に置き換えた。

そして、カセヤのウイルスに感染して暗号化されたファイルで復号を試してみたところ、みごとに暗号を解くことが出来た。

暗号の解除に成功したことを示す表示
暗号化された状態のファイル(左)と暗号が解除されたファイル(右)

「マスターキー」を公開したのは、誰なのか?

闇サイトでは「私たちの親会社から提供された」と書かれていたが、詳細は分からないという。

公開の際には「すべての犠牲者のために」「もし誰かが必要としているなら」というコメントが添えられていることから、何らかの経緯で入手した人が善意で公開した可能性もあるというが、正体は不明のままだ。

ランサムグループへの国際的な包囲網

FBI長官は、コロニアルパイプラインの被害の後、アメリカのメディアに対して、ランサムウエアによるサイバー攻撃を、「9・11に匹敵する脅威だ」とコメント。

アメリカのバイデン大統領も、ロシアのプーチン大統領に対して、攻撃がロシアの拠点から行われているとして、対応をとるよう求めた。

また、アメリカ司法省はFBIと協力して、パイプラインを攻撃したハッカー集団に支払われた暗号資産のうち、2億5000万円相当を突き止めて、奪還したと発表した。

こうした中で、ハッカー集団の活動が一部停止したり、生き残りをかけた足の引っ張り合いのような状況になっているのではないかという見方もある。

吉川さんは次のように指摘する。

「ランサムウエアに対する世間のイメージや政府当局からの圧力が高まる状況下において、今後、目立つ攻撃手口を使い続けるべきかなど方向性のすれ違いや、ハッカー集団内での生き残りをかけた足の引っ張り合いなどがあるのだろうと想像します」

勢力は衰えず警戒が必要

いっぽうで、吉川さんは、全体として、勢力が衰える気配は今のところなく、むしろスピード感が増し、さまざまな攻撃を仕掛ける状況となっていて、引きつづき予断を許さないと警告を鳴らす。

8月に入って、日本企業にも被害が相次いでいる「Lockbit2.0」と呼ばれるグループは、自身のサイト上で、他の集団のランサムウェアのファイルをまとめて公開、自身のランサムウェアの方が暗号化の速度が早いなどと宣伝しているという。

他のハッカー集団よりも優れているとアピールすることで、より高い能力のあるハッカーを実行部隊として雇おうとしているのだ。

暗号鍵が流出したと見られる「REvil」は、2か月間にわたって活動が停止、グループのサイトもアクセス不能になり、吉川さんは看板を掛け替えたり、他のグループと連携している可能性があるとして、警戒していたが、9月7日、サイトが突如、復活したという。ハッカー集団の生態はまさに奇怪だ。

三井物産セキュアディレクション 吉川孝志 上級マルウェア解析技術者
「防御する側の企業などは、従来からの対策を強化し続けることが重要です。ハッカーの侵入経路として使用される、ネットワーク上のポイントの見直し、ソフトウエアのアップデート、多要素認証などによるアクセスの管理、組織内のシステムやネットワークの監視体制を整えることなどが欠かせません」

  • 科学文化部 黒瀬 総一郎 サイバー犯罪の取材は、福岡県警担当時代から。現在は、ホワイトハッカーを中心にサイバー攻撃の取材にあたる。サイバー空間とともに水辺空間の取材もライフワークとし、うなぎの取材にもあたる。

  • 追跡 記者のノートから

    “最恐ウイルス”に立ち向かった 8人の日本人ハッカー疑惑

    サイバー空間で“最恐”と呼ばれたコンピューターウイルス、エモテット。猛威を振るっていたこのウイルスが、ことし1月、制圧された。作戦には日本の有志のホワイトハッカーたちの活動が大きく寄与していた。

    2021年6月23日

  • 追跡 記者のノートから

    父親の遺体と6年暮らした 息子が語ったのは…事件 社会

    「あなたにも気の毒な事情があったのではないかと思いました」 私は“背景事情を含めてもっと理解したい”と突然の訪問の趣旨を伝えた。55歳の息子は少し驚いたような様子だったが、「まあ、汚いですが」と言い招き入れてくれた。

    2021年9月16日

  • 追跡 記者のノートから

    コロナ禍だから? “テンペスト” そのリスクとは事件

    電磁波でテレビ会議の音声が聞けてしまう!?テレワークが広がる中、情報を盗み取られるリスクが高まっているという。その名は「テンペスト」。およそ半世紀前に明らかになった古くて新しい危険とは?

    2021年6月9日

  • 新人記者が見つけた“もう1つの不正”事件 不正

    隣り合う2つの町の町長が相次いで逮捕された汚職事件。取材を進めると、埋もれていた“新たな不正”が明らかに。新人記者が挑んだ調査報道の記録です。

    2022年7月1日

  • なぜ一線を越えるのか ~相次ぐ無差別巻き込み事件~事件 社会

    「ぶっちゃけ、事件を起こすのはどこでもよかった」 ことし1月、東京の焼き肉店で立てこもり事件を起こした元被告は、取材に対してあまり表情を変えずにこう話した。去年からことしにかけて、面識のない人に対する「無差別巻き込み事件」が相次いで起きている。なぜ、一線を越えて事件を起こしたのか。どうして、無関係の人を傷つけたのか。当事者に直接アプローチして、取材を試みることにした。

    2022年6月17日

  • 新宿・歌舞伎町 “トー横キッズ”社会

    東京新宿・歌舞伎町の一角、通称「トー横」。ここには「自分の居場所がない」という少年少女が集まってきます。薬物摂取や傷害致死事件など、子どもたちが巻き込まれる事件やトラブルが続くこの場所で、いま何が起きているのか。5か月にわたる密着取材で「トー横キッズ」の素顔に迫りました。

    2022年6月10日