5.ハッカー集団より酷いサイバーセキュリティ企業も存在している
ランサムウェア攻撃が減ることは無いと明確に感じられたので、マインダーは2人の従業員に身代金交渉の技能を伝授するための訓練を開始しました。その内の1人は、ノースカロライナ州出身で元麻薬取締官のマイク・ファウラーです。潜入捜査の方法をファウラーに教えましたが、役になりきることが重要だと教えました。マインダーによれば、それは身代金交渉をする際に必須で、非常な重要です。
昨年11月にファウラーはある建設会社の身代金交渉を任されました。彼がダークウェブで調べて分かったのですが、身代金交渉は既に3日前から行われていたことに気づきました。そこのチャットボックスを使って交渉は継続中でした。ファウラーは状況を見て衝撃を受けました。というのは、交渉があまりにもお粗末だったからです。彼は3日間何をしていたんだと怒りを通り越して呆れるしかありませんでした。
その建設会社のチャット上での身代金交渉には複数名が携わっていましたが、いずれも攻撃的な態度で対立を煽っていました。ハッカー集団がその会社のファイルを復号するのに要求した身代金は20万ドルでした。それに対応して建設会社の交渉担当者は支払える額は1万ドルだと主張しました。が、その後段階的に額を1万4千ドル、2万5千ドルと上げていきました。「それは全くの悪手で、誘拐犯に身代金を要求されて怯えている資産家と全く同じ反応です。それはもっとお金があると言っていると同じことなのです。」とファウラーは言いました。ハッカー集団は不満を募らせていて、チャットボックスに「会社の年商は4百万ドルのはずだ。それからすれば当方の要求額は妥当で非常に少額だ。」と記しました。ハッカー集団の最後のメッセージは2日前のもので、「6万5千ドルで手を打つことにした。」と記されていました。
ファウラーとマインダーは何が起こったのか状況を正確に把握することに努めました。当初、クライアントの建設会社は、ダークウェブにアクセスしたことは無いし、ハッカー集団と身代金の交渉もしていないと主張していました。次に、ファウラーはマインダーに直近でレビルのブログの投稿があったことを知らせました。そのブログの内容は、ファイルを復号出来ないのにできると偽る詐欺的な身代金交渉業者が存在していると警告するものでした。マインダーが推測するに、その詐欺的交渉業者が秘密裏にハッカー集団と交渉したことによって、身代金の額が引き上げられてしまったようです。当時、マインダーはサイバー集団が詐欺的交渉業者がいると警告しているのは不思議なことだと感じていました。その業者とはどうやらMonsterCloud(以下、モンスタークラウド社)だったことが現在では明らかになっています。というのは、建設会社がモンスタークラウド社にも交渉を依頼していたことを認めたからです。モンスタークラウド社はフロリ州の企業でPRページを見ると「サイバーテロとランサムウェア攻撃からの復号において世界一の企業」と自らを宣伝していました。モンスタークラウド社ウェブサイトを見ると、ランサムウェア攻撃を受けても同社に依頼すれば身代金を支払わなくてもファイルを復号できると記されていました。その宣伝文が魅力的だったから建設会社の経営陣の心に刺さったのでしょう。マインダーは私に言いました。「その建設会社の経営陣は非常に愛国心が強かったんです。だから、海外のハッカー集団に身代金を支払うくらいなら、フロリダのIT企業にお金を払った方がましだと考えていたようです。」と。(訳者注:モンスタークラウド社のやろうとしていたのは、ハッカー集団から復号ツールを買い、それを利益を乗せて建設会社に売るということ。それで、身代金を支払わずにモンスタークラウド社のテクノロジーで復号出来たと見せかける。)
しばらくしてからマインダーは知ったのですが、レビルがダークウェブ上のチャットで身代金を6万5千ドルに引き上げた直後に、モンスタークラウド社の担当者は建設会社にファイルは14万5千ドルで復号できると言ってきました。(モンスタークラウド社にこの件を確認しようとしましたが、コメントを拒否されました。)
プロパブリカの調査によると、モンスタークラウド社には長年ハッカー集団と密かに交渉してきた実績があります。プロパブリカは、身代金を支払わずにファイルが復号されたと信じていた多くのモンスタークラウド社の顧客企業から話を聞きました。よく考えれば分かることですが、本当に身代金を支払わずに復号できるのであれば、現在のようにランサムウェア攻撃が増え続けるはずがありません。そもそもランサムウェアで開けなくなったファイルは、ランサムウェア作成時のコードにエラーでもない限り復号できるはずがないのです。モンスタークラウド社と同じようなビジネスモデルで復号に強みがあると謳っているIT企業がアメリカだけでも数社あるようです。それらの企業はハイテクツールを使用してファイルを復号できると謳っており、犯罪組織に資金を提供することなくランサムウェアに対処できると顧客企業に信じ込ませています。犯罪組織に資金を提供しないということは魅力的であるので、モンスタークラウド社の顧客には特に公的機関や地方自治体や法執行機関などが多かったようです。ランサムウェア攻撃を仕掛けるハッカー集団は、モンスタークラウド社のようなデータ復号を謳う企業を重要なパートナーであると認識していて、割引価格を適用していていることもあります。プロパブリカはモンスタークラウド社にそうしたスキームについて取材を申し込みましたが、一切の回答を拒否されました。同社のCEOであるゾウハ・インハシは著書に次のように記しています。「全て当社にお任せください。どんな技術を使うかは私たちが決めます。それを明かすことは出来ません。全て当社に任せて待っていれば良いのです。何もせずリラックスしているうちに、復号しますよ。」
マインダーがクライアントの建設会社に状況を説明した時、イラついて悪態をつく者もいました。というのは、身代金交渉はすでに決裂しており、マインダーがハッカー集団と身代金の交渉をしても額が下がる見込みが無かったからです。建設会社からマインダーはハッカー集団に対して攻撃的な態度を取るよう依頼されましたが、丁重に断りました。そうした状況であったので、建設会社はバックアップデータや古い電子メールからファイルを再作成できないか試み始めました。また、マインダーは、どのようにしてランサムウェア攻撃を仕掛けられたのかを調査するように建設会社に勧めましたが、建設会社は興味を示しませんでした。建設会社は自社には能力の高いIT担当者がおり、マインダーの手を借りる必要は無いと考えているようでした。
マインダーはモンスタークラウド社のやっていることを連邦取引委員会に報告しましたが、事態は何ら変わっていません。彼は言いました、「グーグルで『ランサムウェア攻撃からの復旧』とか『ランサムウェアへの対応』とかで検索すると、モンスタークラウド社や同業者が上位に表示されます。それらの企業は暴利を貪っていますし、『身代金を支払わない』という虚偽の宣伝を行っています。見ているだけで吐き気がします。」と。