米国務省が、北朝鮮にリンクした悪意のあるサイバー活動とその脅威アクターグループに関する情報提供を呼びかけています。有益な情報提供には最大1000万ドル(約13億円)の報奨金が支払われるようです。
新たに登場したマウイランサムウェアとは
CISAなどアメリカのサイバーセキュリティ当局はこのほど、医療や公衆衛生部門を標的とする北朝鮮にリンクしているとされるランサムウェア、マウイランサムウェアに対する注意喚起を行いました。CISAの発表などによると、このランサムウェアの実行ファイルはmaui.exeというファイル名となっているようです。
マウイランサムウェアは、電子カルテや診断サービス、画像など医療サービスのサーバーを暗号化するということです。2021年5月以降、米連邦捜査局(FBI)が監視してきました。マウイランサムウェアを調査したサイバーセキュリティ企業のStairwellによると、このランサムウェアは復旧手順を提供するための身代金メモや暗号化キーを攻撃者に送信するための自動化された手段がないということです。RaaSと呼ばれる犯罪ビジネス化されたランサムウェアにおいては、こうした機能はすべて自動化されているのが一般的なことから、マウイランサムウェアはRaaSとは一線を画したランサムウェアのようです。米当局は北朝鮮にリンクしているランサムウェアだと明言しています。
米司法省のブレスリリースによると、2021年5月にカンザス州の病院にマウイランサムウェアによる攻撃があり、同病院のサーバーは暗号化され、同病院は約10万ドルの身代金をビットコインで支払ってデータを復元したということです。その後、この病院の協力のもとFBIが捜査をして中国を拠点とするマネーロンダリング業者を追跡して不正な仮想通貨アカウントの押収に至り、カンザス州の病院が支払った身代金に加え、やはりマウイランサムウェアの攻撃を受けたコロラド州の病院が支払った身代金を含む約50万ドルの回収に成功したということです。CISAなどによるマウイランサムウェアに対する注意喚起は、FBIの捜査による身代金の回収を受けて行われたようです。
Lazarus Group、Kimsuky…ツイッターで情報呼びかけ
CISAによればアメリカ政府は、北朝鮮の悪意のあるサイバー活動をHIDDEN COBRAと呼んでおり、その脅威グループとしてLazarus Group、Kimsuky、Bluenoroff、Andarielの名前をあげています。そして、これら北朝鮮にリンクされた悪意のあるサイバー一活動と脅威アクターについて情報の提供を求め、情報の提供者には最大1000万ドルの報奨金を支払うということです。これは、1984年の国際テロ対策法に基づいて設立されたアメリカ国務省の国家保安報酬プログラム(RFJ)の取り組みの一環です。
RFJでは、アメリカの重要インフラに対する悪意のあるサイバー活動に参加している人物の身元や場所につながる情報に対して最大1000万ドルの報奨金を提供するとしており、また、北朝鮮政権を支援するマネーロンダリングを含む金融メカニズム、贅沢品の輸出、サイバー活動、大量破壊兵器の拡散を支援する行為等にかかわっている者の阻止につながる実用的な情報に対しては最大500万ドルの報奨金の提供を明らかにしています。このほどRFJは改めてツイッターでLazarus Group、APT38、BlueNoroff、Stardust Chollimaにかかる情報の提供を求め、その中で情報には最大1000万ドルを提供することを表明しています。マウイランサムウェアを受けた対応なのか不明ですが、北朝鮮にかかるサイバー脅威は依然として増している状況だと言えそうです。
■出典
https://www.cisa.gov/uscert/northkorea
https://www.cisa.gov/uscert/ncas/alerts/aa22-187a
https://stairwell.com/news/threat-research-report-maui-ransomware/