デジタル

追跡!ネットアンダーグラウンド

FBIがハッキング?~ハッカーとの「挑発」合戦も~

FBIがハッキング?~ハッカーとの「挑発」合戦も~

2024.03.28

FBIがハッカーをハッキング。さらに、ハッカーのサイトを「改ざん」した。

やられたハッカーも黙ってはいない。  
「捕まえられないと確信している」

捜査の手をあざ笑うかのように逃れるハッカー。

ここ数年、世界中を震え上がらせてきたハッカー集団「ロックビット」に対する国際捜査が、新たな局面を迎えている。日本の警察も名を連ねるサイバー捜査の最前線を取材した。

ハッカーのサイト「改ざん」

三井物産セキュアディレクション 上級マルウェア解析技術者 吉川孝志さん

ロックビットのサイトがおかしい

24年2月。世界中のサイバー犯罪グループの動向を追う吉川孝志さんは、あるハッカー集団のサイトの異変に気づいた。

世界中の組織にサイバー攻撃を仕掛け、大金を脅し取ってきた「ロックビット」。
彼らの“公式サイト”が見慣れない画面に変わっていた。

現在、このサイトはオペレーションクロノスなどの管理下にある

アメリカ、イギリス、フランスそして、日本など11か国の国旗、そして、捜査機関のマーク。明らかに、ロックビットのサイトは「改ざん」されていた。

5件に1件がロックビット

「ロックビット」。

数多くのハッカー集団を監視・分析してきた吉川さんにとっても、このハッカー集団は、特異な存在だ。

去年、名古屋港のコンテナターミナルを攻撃し、3日間にわたり、機能不全に陥らせたことは記憶に新しい。

彼らが使うのは「ランサムウエア=身代金要求型のコンピューターウイルス」。

ウイルスでターゲット組織のデータを暗号化し、解除と引き換えに、身代金を要求する。

さらに自前のサイトで、暗号化と同時に奪ったデータを暴露すると、恐喝する。

吉川さんによれば、こうした攻撃を行うハッカー集団は、ほかにも多くあるが、ロックビットによる被害は群を抜いているという。

23年1月~24年1月までの1年あまりで攻撃を受けた可能性があるのは5089件。

このうち、ロックビットは1111件。実に、5件1件に上る。

吉川孝志さん ほかの犯罪グループと比べても攻撃件数が抜きん出ており、最も活発なグループで、世界にとって大きな脅威だ

「改ざん」も国際捜査?

吉川さんがサイトの異変に気づいてから1日もたたずに「改ざん」の種明かしが行われた。

ヨーロッパの警察機構などが、ロックビットのメンバーの一部とみられる2人を検挙したと明らかにしたのだ。

サイトに出ていた国旗は、捜査に参加した国を示しており、日本を含めた11か国。改ざんされたサイトにあった「オペレーション・クロノス」とは、国際捜査の作戦名だった。捜査機関は、ハッカーのサイトをハッキングして「押収」。そして、改ざんしていた。

まるで「挑発」?

サイトの改ざんは、まさに目を見張るものだった。もともとは、ロックビットが、攻撃を行った企業を一覧にしてアピールしていたページも書き換えられていた。

「プレスリリース」

「復旧ツール」

「逮捕はポーランドで」

「サイバー攻撃を報告して!」

検挙に関するプレスリリースのほか、日本の警察が開発した暗号化を解除するためのツールの紹介。そして、被害を受けた組織に、捜査機関に報告するよう呼びかけている。

これまでは、ロックビットがPRに使っていたサイトを乗っ取って、逆にPRに利用するという、示威的なやり方。まだ検挙されていないロックビットのメンバーを「挑発」しているかのようにも感じる。

「挑発」に「挑発」

画像 三井物産セキュアディレクション

それから5日後。

ロックビットの、新しいサイトが立ち上がっているのが確認された。新しい被害企業の掲載も始まっていた。

今回、捜査を受けたことに対してのコメントも出していた。

いったい、何が起きたのか。2024年2月19日、私のサーバー2台に侵入テストが行われ、エラーを発見した。あとでわかったが、ディスク上のすべての情報が消去されていたことが判明した

ロックビットは侵入を許した原因として、サイトをつくるためのプログラム言語のぜい弱性を突かれたことを示唆した。

そして、持論を展開。

警察が開発したという暗号化を解除するツールは、全体のごく一部に過ぎないなどと主張。さらに、サイトの押収の糸口をつかんだ捜査員に向けて呼びかけも行った。

私の下で働けばもっと稼げるだろう。FBIはあなたの才能を評価していないが、私は評価しているし、惜しみなく支払う

「捕まえられないと確信」

画像 三井物産セキュアディレクション

捜査機関をさらに挑発するメッセージも掲載されていた。

私の仕事へのモチベーションを高めてくれるのは、強力な競争相手とFBIだけだ。FBIが私を捕まえられるかどうか、そして彼らの仕事のやり方を見れば、捕まえられないと確信している

ロックビットは変わらず、自身のサイトに被害企業の情報を掲載し続けている。

壊滅できなければ意味ない?

今回の検挙では、ロックビットの活動をすべて止めることはできなかったが、吉川さんは、今回の国際捜査は、一定の意義があったと分析する。

吉川孝志さん サイバー犯罪者はさまざまな国に分散して活動しており、さまざまな国の捜査機関などが連携する必要がある。日本の機関もしっかりとした存在感を示すことができていて、ほかの犯罪者にも非常に強力な抑止力になると考えられる。国際的な圧力を維持し、追跡と摘発の努力を強化し継続することが重要だと言える

一方、今回のケースでは、捜査機関がハッカー側を「ハッキング」さらには、両者が「挑発」の応酬を繰り広げるという異例の展開ともなったことに関しては、吉川さんは、捜査機関がこうした手法をとることへの懸念も示した。

吉川孝志さん (ロックビットのコメントでは)政府機関をもっと攻撃すべきだという主旨のコメントも出している。感情の逆なでは、今後の活動をいっそう過激にさせるなどの悪影響を及ぼす可能性も否定できない。もちろん、あえて計算として挑発するケースもあるとは思うが、その是非については、目的や影響によっては100%全てに賛同できるものではないというのが個人的な感覚だ

対策は?「基本を確実に」

国境のないサイバー空間で、長らく捜査の手が及ばなかった犯罪グループ。

これまでにない国際連携が進んだことで、少しずつ事態が動き始めている。

だが、検挙はなかなか一筋縄ではいかない。捜査機関の動向を見守りつつも、自分たちの組織は、自分たちで守る。これを徹底することが最も重要なことに変わりはない。

では、私たちは、どう備えればいいのか。

吉川さんによれば、ランサムウエアの攻撃では、業務でリモートから組織内へアクセスするために利用するネットワークの境界にある機器が狙われることが多い。

具体的には「VPN」や「RDP」などの脆弱性や認証情報が盗まれるといったケースだ。

これは機器や基本ソフト=OSを最新の状態に保つことが最も重要で、アップデートを確実に行う必要がある。

さらに本人確認のための方法を複数用意する「多要素認証」の導入なども求められる。

また、万が一、攻撃されても、すぐに復旧できるよう、データのオフラインでのバックアップを行うことのほか、事前に対応計画を策定しておくことなども重要だ。

吉川孝志さん 対策の多くは従来から言われてる基本的なものだが、やはりなかなかできていないからこそ 攻撃が続いてしまっている。基本的な対策を改めて見直し、多層的に取り組んでほしい

(3月4日「Nらじ」などで放送)

LockBit3.0とは何者か?

NEWS UPLockBit3.0とは何者か?

「身代金ビジネス」に手を染めるサイバー犯罪者を追え

NEWS UP「身代金ビジネス」に手を染めるサイバー犯罪者を追え

病院がサイバー攻撃を受けたとき  消えた電子カルテの衝撃

NEWS UP病院がサイバー攻撃を受けたとき 消えた電子カルテの衝撃

プリンターが止まらない 戦慄のランサムウエア 被害企業が語った

NEWS UPプリンターが止まらない 戦慄のランサムウエア 被害企業が語った

ご意見・情報 お寄せください