2.マインダーがハッカー集団との身代金交渉を行うようになった経緯
子供の頃、マインダーは父親が働いている製粉所に行ったことがありました。イリノイ州の中部でした。父親は50ポンド(23キロ)の小麦粉の入った袋を持ち上げていました。彼は母親の職場にも行ったことがありましたが、母親はイリノイ州の役場務めで、エアコンの効いたオフィスでコーヒーを片手に座っていました。彼は母親の仕事が何であるかを完全には理解していませんでしたが、書類を作成するのが主のようでした。マインダーは私に言いました、「私は子供心に、母親のしている仕事の方が、父親がしている仕事より楽そうで良いなと思いました」と。
マインダーは90年代初頭に大学を卒業した後、地元のインターネットサービスプロバイダーで職を得ました。技術サポートの仕事でした。1年ほどで彼はアシスタントシステム管理者に昇進しました。サーバーのログを監視するのも彼の業務の1つでした。彼はログの中に奇妙な痕跡があるのに気づき始め、詳しく分析した結果ハッカーの仕業であることに気づきました。複数のハッカーが彼が務めていた企業のルーター踏み台にしていました。それによってハッカーは自らの攻撃を偽装することが可能で、攻撃された側から見るとマインダーの企業のルーターが攻撃元に見えるのです。当時、そうしたハッッキングのほとんどは、個人が自分のスキルを披露したいだけで行っている趣味みたいなものでした。誰かを攻撃して大災害を引き起こそうというような企てとは無縁でした。マインダーはそうしたハッカーとやりあって、彼らを出し抜いた時には自分の満足感が非常に高いことに気づきました。
しかし、当時すでにハッカーが企業等に深刻な損害を与える可能性があることが認識されつつありました。1989年には世界中で2万人の公衆衛生の研究者にフロッピーディスクが送りつけられました。それには、エイズに関する有用な情報を含んでいると記されていました。しかし、そのフロッピーディスクには悪さをするプログラムファイルも含まれていました。現在ではそれが歴史上初めてのランサムウェアだったと言われています。それに感染してしまった後、パソコンを90回起動すると画面にテキストボックスが出現して、全てのファイルがロックされたという通知を見ることになります。そして、プリンターから身代金の支払いを指示する文書が吐き出されます。そこに印刷されているパナマの私書箱宛に189ドルを送るよう指示があります。そのマルウェアは、AIDS Trojan(エイズ トロイの木馬)として有名になりました。ジョセフ・ポップが作成したものです。彼はハーバード大で進化生物学を研究していました。ポップは逮捕されましたが、逮捕後に行動がますます常軌を逸するようになって裁判に耐えられないと判断されました。彼は後にニューヨーク州北部に蝶のサンクチュアリ(自然保護区)を設立しました。
ポップの考えた仕組み、ファイルを暗号化して使えないようにして復号するためのお金を要求するというスキームは、今日のランサムウエア攻撃を仕掛けるハッカー集団のスキームとほぼ同じです。最近のハッカー集団は、scareware(スケアウェア)と呼ばれるアプローチを好みます。それに感染すると、パソコンの画面にポップアップがいくつも現れて不吉なメッセージが表示されます。表示は「警告!セキュリティ上の重大なリスク有り!あなたのプライバシーとセキュリティが危険にさらされています!」という感じのものが多いようです。現れたポップアップを見ると、パソコンのセキュリティを担保するために特定のウイルス対策ソフトウェアを購入するべきだと記されています。ハッカー集団は、ご丁寧にもそのソフトウェア会社はクレジットカードでの支払いも受け付けていると記しているのですが、実際にはパソコンがランサムウエアに感染してしまっているのでクレジットは使えません。2000年代初頭には、ランサムウェアを仕掛けるハッカー集団は通常数百ドルをギフトカードかプリペイドデビットカードの形で渡すよう要求したものでした。しかし、その方法では、お金を受け取るためには仲介業者が必要でした。儲けのほとんどが仲介業者のところに行く形になっていました。
仲介業者だけが儲かるという形は、2009年にビットコインが生まれてから大きく変わりました。現在では、デジタル決済を使えば、身元を明かすことなくお金を受け取ることができるようになりました。それで、仲介業者の抜きが無くなり、ランサムウェアを仕掛けるハッカーの取り分が多くなり以前より儲かるようになりました。マインダーが2014年にバージニア州アーリントンにグループセンス社を設立した時、世間一般ではサイバーセキュリティの最大の脅威といえば、データ流出でした。顧客情報が盗まれて、顧客の銀行口座情報や社会保障番号などが流出する事件が頻発していました。マインダーは、サイバーセキュリティ専門家を何人も雇い入れました。その中には、ロシア語、ウクライナ語、ウルドゥー語を話す者がいます。彼らはハッカーを装ってダークウェブ上で企業等から盗まれたデータを誰かが販売していないかをチェックしていました。しかし、セキュリティシステムも年々改善されていますので、ハッカーによるデータ流出は難しくなって件数も減りました。それで、ハッカー、サイバー犯罪者はランサムウェアにますます目を向けるようになりました。FBIの推定によれば、2015年時点で米国は1日あたり1千件のランサムウェア攻撃にさらされていたとのことです。翌2016年にはその数は4倍に増えました。サイバー攻撃の被害をカバーする保険を販売している保険会社レジリエンス社で保険請求部門を統括しているのマイク・フィリップスは言いました、「現在、支払い件数が一番多いのはランサムウェア攻撃による被害です。ほとんどがそれで、他が遠く離れて2位を争っている状況です。」と。
ほとんどのランサムウェアによる攻撃は、ハッカー集団によるものです。マインダーがそうした集団と交渉をしていると、青臭い未熟な考え方をする者と熟練のプロが混在していることに気づきます。多くの者がテレビゲームが好きで、“evil”(邪悪な)という語を好んで使いますが、洗練されたハッキングスキルも持っています。大規模なハッカー集団となると、コールセンターが有って、被害者が暗号資産で身代金を支払う手間で苦労している際に手助けをします。また、支払期日までに支払いをする者に対しては割引特典を用意しています。レビル等のランサムウェア攻撃を仕掛けるハッカー集団のいくつかは、他のハッカー集団に対する業務支援も行っています。ランサムウェア攻撃を仕掛けるツールを提供して、それによって得られる利益の一部を受け取っています。また、レビルは、身代金の交渉業務も受託して代行して行います。サイバーセキュリティの専門家のレイナーは私に言いました、「今やランサムウェア攻撃を仕掛けるのは非常に容易になっています。誰でも出来ますよ。そうしたことを支援してくれる企業を探して頼むだけですから。ランサムウェア攻撃の全てのプロセスがコモディティー化してしまっています。」と。
ハッカー集団は、さまざまなテクニックを駆使して企業内ネットワークに侵入します。電子メールの添付ファイルにマルウェアを埋め込んだり、リモートワークしている従業員が社内ネットワークに入る際のパスワードを盗み取ったりします。そうしたハッカー集団の多くは、ロシアやウクライナなどの旧ソ連域内に拠点を置いています。ですから、マルウェアの中には、攻撃相手先のネットワークや端末等で使われている言語がロシア語やベラルーシ語やウクライナ語である場合には攻撃を中止するよう設定されているものもあります。それらのハッカー集団の中は、現役の軍人もしくは退役軍人を雇用していることが多いのですが、地政学的なことに対する関心は高くありません。あくまで金品の略取が目的です。レビルの代表と目される人物がロシア人YouTuberとのインタビューに応じたのですが、「政治にはまったく興味がない。誰が大統領になろうが全く興味はありません。ランサムウェア攻撃を仕掛けて仕掛けて仕掛けまくって、身代金を出来るだけ多く受け取りたいだけです。」と言っていました。
フィリップスは私に言いました、「身代金を払うと決断した時に頭をよぎるのは、悪徳ハッカー集団を助長することになってしまうのではないかということです。ランサムウェア攻撃を仕掛けるハッカー集団は、裏社会に確実に存在しているのですが、シリコンバレーのベンチャーキャピタル企業と同様に、資金を獲得しつつテクノロジーに磨きをかけていて、非常に進化が速く革新的です。2017年5月に為されたWannaCry(ワナクライ)攻撃は、マイクロソフト・ウィンドウズのパッチが適用されていない古いバージョンのままの端末が感染しました。被害を受けた端末は30万台にのぼりました。英国では、救急搬送システムが影響を受け、救急車の手配が出来ない医療機関が出ました。また、ルノーの工場では生産停止を余儀なくされました。しかし、その攻撃の3年後、レビルの代表と目される人物は、そのワナクライ攻撃は無差別攻撃で愚かな手法であると酷評しました。ワナクライ攻撃をしたハッカー集団が、要求した身代金はわずか300~600ドルでした。得られた総額はわずか14万ドルほどに留まりました。
ワナクライによる攻撃が下火になった後、ランサムウェア攻撃を行うハッカー集団は、セキュリティが緩く、且つ、騒動に対する耐性が低い攻撃対象を常に探すようになりました。最もお金になり易いからです。工業型農業を行っている企業、中規模製造業、油田開発企業、地方自治体などが該当することが多いようです。また、ハッカー集団はランサムウェア攻撃を仕掛ける時期を見計らっていて、もっともセキュリティが脆弱になる時期を狙います。例えば、学校法人などは8月に狙われます。新年度が始まる前であたふたしているタイミングを狙うのです。また、ハッカー集団の中には、大金獲得を目指して超裕福な企業だけを攻撃対象にしている集団もあります。Hades(ハデス=冥界の意)という種類のランサムウエアで攻撃を仕掛けるハッカー集団は、10億ドル以上の収益がある企業のみを攻撃対象としています。また、ランサムウェア攻撃を仕掛ける毎に、攻撃対象毎に専用のマルウェアを開発するハッカー集団もあるようです。2019年に欧州の法執行機関であるEuropol(欧州刑事警察機構)が主催したウェブセミナーで、 サイバーセキュリティの専門家が暗号資産Monero(モネロ)の追跡は事実上不可能であると述べました。その後すぐに、レビルは身代金を受け取る際に、ビットコインではなくモネロでの支払いを求めるようになりました。
ランサムウェア攻撃を受けた企業が身代金の交渉に消極的であると、その企業の経営幹部に電話やリンクドインのメッセージで脅迫的な要求が送られることがあります。昨年、イタリアの酒造企業カンパリグループは、直近で受けていたランサムウェア攻撃を軽微なもので大した影響は無いとするプレスリリースを出しました。それに怒ったハッカー集団側は、ハッキングして乗っ取ったシカゴのDJのFacebookアカウントを使って、事実を大々的に公表しカンパリグループに恥をかかせました。「カンパリグループは人々を欺こうとして、馬鹿げた嘘を付いている。我々は膨大な量のデータを抜き取っており、その中には機密文書も大量に含まれている。」と非難していました。また、昨年、南米の家庭用品を販売すチェーン店の多くのレジのプリンターから勝手に紙が吐き出されました。それは、レシートではなく、身代金を要求する警告文でした。
最近では、ハッカー集団は身代金を要求するだけでなく、恐喝もするようになりました。彼らは、システムを暗号化して動かなくする前に、機密ファイルを抜き出します。それで、身代金の要求が満たされない場合には、機密データをメディアに公開する、あるいは、ダークウェブ上の闇市場などで競売にかけると脅迫します。ハッカー集団は、経営幹部の秘密のポルノ画像を公開すると脅したりしますし、身代金の支払いに応じようとしない企業の恥部に関する情報を同業者から集めたりします。「ランサムウェア攻撃を仕掛けるハッカー集団が児童福祉施設を恐喝していて、罪のない子供たちの情報を公開すると言って脅しているのを見たことがあります。」とフィリップスは言っていました。