Annals of Technology June 7, 2021 Issue
How to Negotiate with Ransomware Hackers
虚々実々の騙し合い!ランサムウェア・ハッカー集団VS身代金交渉業者
Kurtis Minder finds the cat-and-mouse energy of outsmarting criminal syndicates deeply satisfying.
カーティス・マインダーは、ハッカー集団とやり合ってきました。双方が知恵を絞って戦ってきましたが、十分成果があったと誇って良いと感じています。
By Rachel Monroe May 31, 2021
1.増え続けるランサムウェア攻撃
昨年の感謝祭の数日後、カーティス・マインダーは、ニューヨーク州北部で小さな建設会社を経営する男からハッキングされたので助けてほしいとの電子メールを受信しました。マインダーはITセキュリティ企業GroupSense(以下、グループセンス社)を経営していますが、最近ではひっきりなしに電話や電子メールが飛び込んできます。その多くはハッキングされてパニックになった企業からで、業種はさまざまです。ある朝などは、3つの会社から連絡を貰っていました。ビール醸造会社、印刷会社、Webデザイン会社でしたが、いずれの会社も全てのコンピューターのファイルがロックされていました。また、それを解除するために身代金を暗号資産での支払うよう要求する警告文が残されていました。
ハッカーが残していく警告文はさまざまなパターンがあります。中には威圧的なものもあります。例えば、「我々を甘く見ない方が良い。そちらの情報は我々に筒抜けで何でも知っているぞ!」といった具合です。また、無愛想な警告文もあります。「残念!あなたの重要なファイルはロックされちゃいました!」という警告文です。また謝罪調の警告文もあって、「大変申し訳ないのですが、全てのファイルをロックしてしまいました!」といった具合です。また、一部の警告文は、ハッカーがセキュリティの監査を行ったような体裁で、あたかも正式に監査を委託したかのようです。その際の警告文は、「重大なリスクが見うけられした!貴社のITシステムには重大な欠陥があります!」という感じになります。
ハッカーが残す警告文には、ダークウェブ上のサイトへのリンクが含まれていることがほとんどです。ダークウェブにアクセスするには特別なソフトウエアが必要で、そこでは秘密の取引が為されています。ランサムウェアを仕掛けられた被害企業がダークサイトにアクセスすると、時計がポップアップ表示され、身代金を支払うまでの猶予期間が表示されます。その猶予期間が刻々と減っていくのですが、アクション映画で時限爆弾のタイマーの時間が減っていくのと同様で、非常に不気味です。また、チャットボックスも現れます。そこで、ハッカーとやり取りすることが可能です。
昨年はランサムウェアを仕掛けるハッキングが急激に増えました。新型コロナでリモートワークをする人が増えたことが影響しています。CISA(サイバーセキュリティとインフラ安全保障局)は昨年12月に、ランサムウェアは重大な脅威になりつつあるとの声明を出しました。実際、複数のワクチン研究開発施設やワクチン製造施設もランサムウェアを仕掛けられましたし、透析を行う装置がフリーズした病院もありました。また、授業を中止しなければならない学区もいくつかありました。多くの企業や組織でリモートワークを大急ぎで導入しましたが、そのことでランサムウェアを仕掛けるハッカーに対する脆弱性が高まりました。今年5月には、DarkSide(以下、ダークサイド)というランサムウェアを仕掛けるハッカー集団の攻撃により、東海岸の大部分にガソリンを供給しているコロニアルパイプライン社のパイプラインが強制的にシャットダウンされました。その影響で、ガソリン価格は急騰しました。ガソリンスタンドにはパニックで長蛇の列が出来ました。この事件では、アメリカの重要なインフラの脆弱性にスポットライトが当たりました。ランサムウェア1つで、国中が大パニックに陥る危険性が明らかになりました。コロニアルパイプライン社はネットワークの回復のために440万ドルの身代金を支払いましたが、攻撃を受けた1週間後の時点でもワシントンDCのガソリンスタンドではガソリンを買うことはできませんでした。
FBIはランサムウェア攻撃を受けた被害企業にハッカーと交渉することを避けるようにアドバイスしています。また、身代金を支払うことで犯罪行為を助長することになると主張しています。しかし、被害企業はそれにすんなり従えないこともあります。ITセキュリティに関する非営利の研究機関のCEOであるフィリップ・レイナーは、FBIの考え方には懐疑的です。彼は言いました、「ランサムウェア攻撃を受けた病院に身代金を払うななどと言うことは出来ません。そんなことをすれば、病院の機能が失われて沢山の患者が亡くなるでしょう。」と。身代金を支払わない企業や組織は、自力でシステムを再構築するのに数カ月要することがあります。また、ハッカー集団に顧客データを抜き取られている場合には、それが公開されてしまう可能性があります。そうなると、規制当局から莫大な罰金が科されます。2018年にアトランタ市は約5万ドルの身代金の要求をはねつけるという決断を下しました。その代償として掛かった費用は200万ドル以上でした。リスク対応コンサルティング企業への支払い、ITシステムの脆弱性の監査費用、システム再構築費用等々でそれだけの費用が掛かったのです。ランサムウェア攻撃を受けても公表しない企業が多いのですが、サイバーセキュリティ企業のKaspersky(以下、カスペルスキー社)が公表されている事例を分析した結果分かったのは、比較的規模の小さい企業や組織の大半が身代金を払っているということでした。
マインダーは44歳です。去年は何度も、ランサムウェアの攻撃を受けた企業等とハッカー集団の間に入って交渉をしました。そのような仕事は数年前には世の中に存在しないものでした。ランサムウェア攻撃を仕掛けるハッカー集団と交渉する専門家はアメリカに6人ほどいます。彼らに交渉を依頼してくるのは大体が保険会社です。ランサムウェア攻撃を受けて身代金を要求されている企業・組織のために交渉することを依頼されます。しかし、彼らは、ハッカー集団に身代金を安易に支払うことを助長してハッカー集団がランサムウェア攻撃を行うインセンティブを高めているとして非難されることもしばしばです。現状では、ランサムウェア攻撃が増えているため、身代金交渉の仕事が少なくて暇になることはありません。マインダーは穏やかで気取らない性格です。ことの成り行きで、期せずして身代金の交渉人になってしまったのだと、自虐的な笑みを浮かべながら教えてくれました。私は3月に彼とウェブミーティングをしたのですが、その際に彼は言いました、「今話している間にも依頼の電話が2件が入ってきましたよ。」と。
昨年11月にマインダーに交渉を依頼した者がいました。その人物の所属する企業は、REvil(以下、レビル)というハッカー集団から攻撃を受けていました。それで、契約関係や建築計画などのファイルにアクセス出来なくなっていました。その後アクセス出来ない範囲が日ごとに広まっていき、遂には業務不能の状態に陥りました。「その企業には、ITに詳しい者が1人もいませんでした。」とマインダーは言います。また、その企業はサイバーセキュリティ関連の保険に入っていませんでした。マインダーに交渉を依頼した者が言うには、システムを復旧させるためにフロリダに本社がある企業とやり取りしていたが、途中から電子メールの返信が返ってこなくなったとのことでした。それで、マインダーのところに来て、ハッカー集団と交渉して復号ツールを取得するよう依頼してきました。マインダーは私に言いました、「いろんな依頼人が私のところにやって来ますが、誰もかれも、非常に切羽詰まっています。」と。