米当局がランサムウェア「Phobos(フォボス)」の管理者を検挙したというニュースがありました。フォボスと言えば2022年10月に起きた大阪市の大阪急性期・総合医療センターへのランサムウェア攻撃を行ったことで知られています。このサイバー犯罪者の検挙には日本の警察も協力しているということです。
42歳のロシア国籍
米司法省の発表によると、この人物は42歳のロシア国籍でフォボスの販売、配布、運用を指揮したとして刑事告発され、韓国からアメリカに身柄が引き渡されて11月4日にメリーランド州連邦地方裁判所に出廷したということです。米司法省によるとフォボス・ランサムウェアは「関連会社」を通じて世界中の1000以上の公的機関や民間組織を攻撃し、1600万ドル以上の身代金を強要したということです。
この捜査は米連邦捜査局(FBI)のボルチモア支局が担いユーロポールや日本、韓国など各国の捜査機関や法執行機関が協力、連携して検挙に至ったということで警察庁もこの人物の検挙についてプレスリリースを発表しました。警察庁はリリースの中で日本のランサムウェア捜査に関し、関東管区警察局サイバー特別捜査部と各都道府県警察が外国捜査機関等と連携して行っていることを明らかにしています。
フォボスの警察庁のリリースでちょっと気になったのは、このロシア国籍の人物をフォボスのオペ―レーターと表現している点です。米司法省の発表ではアドミニスタレーター(管理者)と言っていて、単なる表現の相違なのかもしれませんが日米の捜査当局にこの人物の身分について認識の差があるような印象を受けました。米司法省のリリースによると、このロシア国籍の人物と共謀者は身代金を脅し取る目的でフォボスランサムウェアを開発、少なくとも2020年11月から公的機関と民間団体を標的に国際的なコンピューターハッキングと恐喝を行うために共謀したということです。
韓国で逮捕、アメリカに引き渡される
フォボスはリークサイトを持たず二重脅迫を行わないランサムウェアグループと言われていましたが、コンピューター詐欺などに加えて恐喝容疑でも起訴されており、身代金が支払われない場合は窃取したファイルを一般の人々や被害者のクライアント、顧客などに公開すると脅していたということですから、実質、二重脅迫をしていたランサムウェアグループだったようです。また、実際の攻撃は「関連会社」が行い、攻撃者は管理者に金銭を払うことで復号化のためのキーを入手していたということですから、フォボスはサイバー犯罪ビジネスと言えると思います。
今回の検挙に関する発表で気になるのが、このロシア国籍の人物が韓国からアメリカに引き渡されていることです。警察庁の発表によると、韓国警察の協力を得てロシア人被疑者を検挙したとしていて、米司法省のリリースではFBIが韓国法務省国際刑事局と協力し、逮捕と引き渡しを実現したとしていることから、このロシア国籍の人物は韓国で逮捕されたようです。しかし、どのような理由で韓国にいたのかは明らかにされていません。ロシアのTrickbotのメンバーも韓国から出国する際に空港で逮捕されており、ロシアのサイバー犯罪者と韓国の関係が気になるところです。また韓国へのサイバー攻撃というともっぱら北朝鮮との関係でとらえられがちですが、ランサムウェア攻撃の実態なども含めて日本と比べてどのような状況なのか今後、情報があればお伝えしたいと思います。
■出典