SPECIAL
追跡!ネットアンダーグラウンド

「身代金ビジネス」に手を染めるサイバー犯罪者を追え

2022.01.26 :

「LockBit2.0」「REvil」「Conti」「Rook」。

音楽バンドの名前ではない。いずれも、世界中の企業にサイバー攻撃を仕掛け、多額の金銭を脅し取るサイバー犯罪グループの名前だ。一体、彼らは何者なのか。NHKでは、組織に独自に接触、攻撃手法を明かした文書も入手。国際的なサイバー犯罪グループの実態に迫った。

摘発された犯罪グループ

「おとなしくしろ!」
1月14日、ロシアの治安機関がサイバー犯罪組織のメンバー14人を拘束したというニュースが飛び込んできた。あわせて8億円に上る暗号資産や現金のほか、20台の高級車なども押収されたという。
摘発されたのは、「REvil」と名乗るグループ。世界各国の企業を攻撃し、多額の金銭を脅し取ってきた国際的なサイバー犯罪組織だ。

REvilは去年、法人向けのソフトウエアを提供するアメリカのIT企業「カセヤ」を攻撃。ソフトウエアを利用している世界中の企業にも影響が及んだほか、日本では、大手ゼネコンの海外子会社などが標的になった。
 
ロシア当局は今回の摘発で、REvilについて「犯罪組織の活動は停止された」としている。

猛威振るうランサムウエア

グループがサイバー攻撃に使ったのが「ランサムウエア」と呼ばれる身代金要求型のコンピューターウイルスだ。

ウイルスに感染させ、保管されているデータを暗号化。企業がデータにアクセスできなくし、業務の継続を困難にしてしまう。その上で、暗号化の解除と引き換えに、金銭を要求するのだ。

医療機関が「狙われた」

世界中の企業を脅し、巨額の身代金をせしめるサイバー犯罪組織とは、いったい、どのようなものなのか?
私たちが注目したのは「LockBit2.0」と名乗るグループだ。

セキュリティー会社「テリロジーワークス」によれば、このグループは2019年から確認されていて、去年6月に「2.0」とアップデートさせて以降、活動を活発化させているという。

日本では、建設コンサルタント会社のほか、去年10月には、医療機関までも標的となった。

徳島県のつるぎ町立半田病院では、去年10月の深夜、院内にある複数のプリンターが突然動き出し、交渉に応じるよう求める脅迫文が印刷された。
『あなたたちのデータは盗まれ、暗号化された』

『身代金を払わなければ情報を流出させる』
電子カルテや会計システムが使用不能となったほか、過去の診察や処方した薬の記録もわからなくなるなど、病院は機能停止の寸前まで追い込まれた。

世界で猛威を振るうランサムウエアが、経済的な損失だけでなく、私たちの命まで脅かしかねないことが改めて、浮き彫りになった。

医療機関のぜい弱性 求められる対策

「ハッカーにとって、医療機関はおいしそうに見える選択肢だ」
医療ISAC 深津博 代表理事
そう指摘するのは、医療機関のセキュリティーに詳しい「医療ISAC」の代表理事を務める深津博さん。深津さんは、病院の多くが脆弱性を抱えたまま放置していると、警鐘を鳴らしている。
「脆弱性を放置している医療機関が非常に多い。『病院だったらきっとやむにやまれず、お金を払うだろう』というふうにハッカー側は考えている可能性が高いと思う」
一度、標的にされれば、医療機関の被害は深刻なものになるおそれがある。

たとえばアメリカのコンサルティング会社が行ったアメリカの約600の病院を対象に行ったアンケート調査では、過去2年間で約半数の病院がランサムウエア攻撃を受けたと回答。その7割の病院が処置や検査に遅れが発生し、病状が悪化したと回答したほか、死亡率が増加したと回答した病院も2割に上ったという。
半田病院の事件以降、深津さんのところには、全国の病院関係者から相談が相次いで寄せられている。この日も東北地方の医療機関の担当者に、アドバイスをしていた。深津さんは、それぞれの医療機関の自助努力だけでセキュリティー対策を進めることには限界があり、政府などが支援することの重要性を強調している。
「多くの医療従事者や病院の経営陣は、予算があるのであれば、それはやることはまったくやぶさかではないと思う。必要性も十分わかっている。しかし、予算がないというのが多くの病院の実情だ。(政府などが)補助金を出すなど支援策が必要だ」

「誰だって攻撃する」

半田病院を攻撃したLockBit2.0。実は事件の2か月ほど前、取材班は別の犯罪を追う中でこの組織に接触していた。

いくつかの質問を投げかけると回答を寄せてきた。
簡単に攻撃できるようなぜい弱性を日本企業に見つけたことはあるか?
『もちろんある。ぜい弱性についての情報はネット上で数多く公開されている。乗っ取りやすい単純なパスワードも使われている』
日本企業が攻撃を受けるようになっているのはなぜなのか?
『見つかったやつは、誰だって攻撃する』
さらに取材班は、去年12月から1月にかけて半田病院の攻撃についても改めて、セキュリティー企業の協力を得て、質問状を送ったが、回答はなかった。

セキュリティー企業「テリロジーワークス」の宮村信男社長は「LockBit2.0は、医療機関などを攻撃しないと明言はしているものの、実際には、攻撃を実行するハッカーなど(『アフィリエート』と呼ばれる)を統制することはせず、ウイルスの供給者としての立場を取っている」と指摘している。

その上で、今回コンタクトに応じなかった理由について「REvilなどのメジャーなグループのメンバーがウクライナやロシアで拘束されている。各国の法執行機関の国際的な協力と締め付けが厳しくなっている中、メディアとのコンタクトにはより慎重になっているのではないか」と分析している。

VPNを狙え!攻撃マニュアル

犯罪組織は具体的には、どのようにして企業の弱点を突き、攻撃をしかけているのか。

取材班は、セキュリティーに詳しいNTTデータの新井悠さんに協力を依頼した。
新井さんとともに潜入したのはさまざまなサイバー組織が活動するネット上の闇の空間、「ダークウェブ」。調べを進めると、コロナ禍に乗じたこうかつな手口の実態も見えてきた。
ダークウェブには、犯罪組織が独自にホームページを開設していて、ランサムウエアによって奪った企業の機密情報を公開・販売していた。この日確認しただけでも、おびただしい数の企業のファイルがアップロードされていて、日本企業もあった。
調査の中で、サイバー犯罪者向けに攻撃手法を解説する文書を見つけることができた。新井さんによると、筆者は1500を超える企業にサイバー攻撃を行ってきたと自称しているという。
『ここから先の行動は、すべて自己責任だ。しかし、そのリスクが数百万もの大金を生み出すのだ』
イラスト入りの文書で、特に詳しく説明されていたのが、「VPN」への攻撃だ。「VPN」とは外部から安全に社内ネットワークにアクセスするために開発された技術で、コロナ禍でその利用が広がっている。

文書では「VPN」のプログラムの弱点をついて、ネットワークに侵入する方法を具体的に説明していた。
同様の手口が、徳島の半田病院への攻撃でも使われたとみられている。

増える「犯罪人材」募集

さらに高額の報酬でサイバー犯罪に手を染める人材を募る掲示板も確認することができた。
「1か月あたり1万ドルなので100万円以上の報酬+αが収入として手にはいりますと書いてある」
新井さんによると、こうした書き込みはコロナ禍で以前の4倍近くに増加。IT技術者を取り込もうとしていると分析している。
NTTデータ 新井悠 エグゼクティブセキュリティアナリスト
「コロナ禍で仕事に影響があったのでサイバー犯罪に加担することで収入を得ようという人間が増えているのかもしれない」
コロナ禍をも利用して、次々と企業に攻撃を仕掛け、膨張していくサイバー犯罪組織。「うちのような小さい病院を狙うとは思わなかった」と、徳島県の半田病院のトップは漏らしていた。

つけいれられる弱点があれば、どんな組織であろうと攻撃を受ける可能性があることを肝に銘じ、それぞれで対策を進めていく必要がある。半田病院のケースが広く伝えられて以降、全国の病院関係者のセキュリティー意識が高まるきっかけとなったという指摘も聞く。NHKでは、次の被害者を生まないための「教訓」として伝えていく。

ランサムウエアなどの被害にあった関係者には、可能な範囲での情報提供をお寄せいただければ幸いだ。

ご意見・情報をお寄せください

科学文化部記者

福田陽平

神奈川県茅ヶ崎市出身。2013年入局。岡山、札幌局を経て2021年4月から科学文化部。担当分野はIT・サイバーセキュリティーと文化・芸術(美術・アート)。地方局時代には、アニメーション監督・高畑勲さんや脚本家・倉本聰さんといったクリエイターなどを取材。岡山では、ハンセン病の元患者、札幌ではアイヌ、LGBTの当事者など、マイノリティーをテーマとした取材も継続している。学生時代に観た是枝裕和氏のドキュメンタリーに衝撃を受け、善悪の単純な二元論で、物事を捉えるのではなく、その「間」を深く取材し、多面的に報道することを目指している。趣味は映画鑑賞、美術館巡り、ひとり海外旅行、読書(小説)。学生時代に吹奏楽部、映画サークルに所属し、いまも年間150本は映画を観る、完全な「文化系」。日課は、契約する5つの動画配信サービスを横断し、映画・ドラマをひたすらチェックすること。悩みは、新たにどの動画配信サービスに入るべきか。

福田陽平記者の記事一覧へ

社会番組部ディレクター

岡本直史

2012年入局。横浜市出身。沖縄局、経済番組部などを経て、2021年より社会番組部所属。事件報道から旅番組、「ゆく年くる年」、新日本プロレスの番組などを制作したほか、最近はネット上のひぼう中傷問題などの取材を続けている。最近、タロットカードの勉強をスタート。取材・番組の行方を占うことも。

岡本直史記者の記事一覧へ

社会番組部ディレクター

浄弘修平

2009年入局。大阪市出身。福岡局、国際番組部などを経て、2020年より社会番組部。最近はネット社会の問題や、国際プロパガンダ活動、テクノロジーの課題などを中心に取材し、オープンソースを使ったデジタル調査報道に力を入れている。学生時代、フィリピンのピナツボ火山(91年噴火)のふもとで、避難生活を続けていた村の支援に向かったところ、村長から「押しつけの支援だ」と怒られたことで、現場でしか聞けない「真相」を知りたいとディレクターを目指す。名前の由来は、800年前、「浄土宗を弘(広)めなさい」と、浄土宗の開祖 法然上人からつけられたという(父親談)。実家は仏教関係ではなく干物屋。好きな干物は、サンマのひらきと、ちりめん山椒。

浄弘修平記者の記事一覧へ

記事の内容は作成当時のものです

SPECIAL一覧に戻る