二重脅迫や高額化などますます悪質化するランサムウェア攻撃ですが、攻撃者とターゲットの企業の間をとりもつ「仲介屋」とも言える業者が存在するようです。現状は限定的のようですが、サイバーセキュリティの専門家はこうした業者の動向に注目しています。
二重脅迫型で攻撃実態が表面化
ランサムウェアの攻撃者は、以前はマルウェアをばらまいて無作為にコンピューターに感染させ、感染したコンピューターの企業や個人に対してデータを破壊するぞと脅して金銭を要求するパターンが主流でした。しかし、昨今は特定の企業に狙いを定めて取引先メールなどを装ってコンピューターに侵入し、システム全体を把握した上で暗号化を行い、データを窃取して企業が金銭の要求に応じない場合は窃取したデータを公開するぞと脅す二重脅迫型が主流になっています。また、要求する金額も肥大化しているようです。こうした攻撃を最初に行ったのは最近閉鎖されたMazeだと言われています。
ランサムウェア攻撃を受けた企業は、これまではその事実を明らかにしないケースが多く、まして金銭要求に応じたのか否かを公表することはほとんどありませんでした。しかし、最近は攻撃者側が企業に支払い圧力をかけることを目的に攻撃の事実を公表するケースが目立っており、ランサムウェアRagnar Lockerのケースでは、ハッキングしたSNSを悪用してランサムウェア攻撃の事実を喧伝するといったことも行われています。以前は攻撃の事実を知られることなく企業が秘密裏に攻撃者と交渉して要求に応じるケースも多かったようですが、昨今は攻撃を受けた事実を隠し続けることが難しくなっており、また脅迫に応じて金銭の支払いをしたことが明らかになれば企業の信用やイメージが棄損されかねません。一方で要求に応じなければシステムは復元されず、また、個人情報など窃取されたデータが公開されるリスクがあるため被害企業は大きなジレンマを抱えることになります。そこでランサムウェアの被害企業をサポートする専門業者が出現しているようなのですが、その実態は少々怪しいもののようです。
ランサムウェアリカバリーの専門家?
アメリカ・フロリダ州に拠点を置く某社のウェブサイトは「サイバーテロリズムとランサムウェアリカバリーの専門家」をうたい、世界でもっとも有名なランサムウェア除去の専門家がいると記しています。主要な業務はランサムウェアを削除し、暗号化されたファイルを復元し、組織がランサムウェアの被害者になることを防ぐことだとし、「犯罪者にお金を払わないでください」と訴えています。また、ニューヨークに拠点を置く某社のウェブサイトではリカバリーやフォレンジック業務を手がけていることが記され、ランサムウェアリカバリーを支援する最初の会社だと主張しています。スコットランドに拠点を置く某社はITサポートのスペシャリストとうたっています。
こうした企業はデータリカバリーの専門業者のようにも見えますが、アメリカの調査報道機関、プロパブリカによると、実際には被害企業に代わって身代金をランサムウェアの攻撃者に支払い、攻撃者から暗号化されたデータを復元するキーを入手してデータを復旧しているということです。そして、被害企業からはデータ復旧費として身代金を上回る報酬を得ているということです。被害企業にとっては、攻撃者に身代金を支払うことなくデータが回復できるメリットがあるわけですが、実質的に業者を介して身代金を支払っているわけです。業者はデータのリカバリーをうたっていますが、実際にはランサムウェアの攻撃者からキーを入手してデータを復元するもので、ランサムウェアの攻撃者と事実上、結託しているとも言えます。また、こうしたケースとは別に、身代金を支払う用意がある企業が、攻撃者と直接交渉したくなかったり、ビットコインでの支払い方法がわからないなどといった場合に、企業に代わって攻撃者に対処することを事業として行っている業者もあるということです。
ランサムウェアの攻撃者と被害企業とを仲介する「ビジネス」がどの程度の広がりを見せているのか不明ですが、ランサムウェアはますます増加しており、2020年の発生件数は前年比7倍にものぼっているとの報道もあります。ランサムウェア攻撃は企業恐喝という犯罪ですので、その裾野の広がりは注視していく必要があり、特に仲介事業者とランサムウェア攻撃者がどのような関係にあるのか注目していく必要があります。
■出典
https://features.propublica.org/ransomware/ransomware-attack-data-recovery-firms-paying-hackers/
https://boingboing.net/2019/06/24/red-mosquito-bloodsuckers.html