昨年、「ロンドン市警察がハッキング容疑で逮捕した17歳がLapsus$の首謀者なのか?」という記事を書いたのですが、この件に関し最近、新たな報道が行われましたのでこれまでの経緯を含めてまとめてみたいと思います。
Uberやロックスター・ゲームスを標的
Lapsus$は、2021年12月にブラジル保健省のネットワークを侵害しデータを窃取したことから知られるようになった恐喝グループです。2022年になるとNIVIDIA、サムソン電子、Ubisoft、マイクロソフト、Oktaなど大手テクノロジー企業を標的に攻撃をするようになりました。ロンドン市警察は昨年3月にこれら大手テクノロジー企業へのハッキングに関与したとみられる16歳から21歳までの7人を逮捕しましたが釈放し、その後にUberやロックスター・ゲームスへのハッキング事件が起きました。そして、ロンドン市警が17歳の男を逮捕しコンピューターの不正使用と保釈条件違反の罪で起訴したことから、起訴された17歳は保釈された7人のうちの1人で、保釈後にUberなどへのハッキングをしたことから保釈条件違反の罪等で起訴されたとの見方がなされ、またこの17歳がLapsus$の首謀者との観測が行われていました。
今回、新たに報道されたのはロンドンの法廷での検察側の主張で、それによると被告の18歳の男が2022年にUberやロックスター・ゲームスを標的にしたということです。また、この18歳の被告は17歳の被告とともに起訴され、検察はこの2人がLapsus$の主要人物だと考えているということです。18歳の被告は恐喝3件、詐欺2件、コンピューター不正使用6件を含む計12件の罪で起訴されており、17歳の被告は恐喝2件、詐欺2件、コンピューター不正使用3件の罪状で起訴されているということですが、本人は罪状を否認しているようです。
懸念されるサイバー犯罪の若年化
18歳の被告は昨年、逮捕・起訴されLapsus$の首謀者とも見られていた当時17歳だった人物と考えられます。また、もう1人の17歳の被告は、ロンドン市警察が7人を逮捕した直前に米メディアのブルームバーグによって報じられたイギリスのオックスフォード近郊で母親と暮らす当時16歳の男とみられ、この人物についてもLapsus$の首謀者とみられていました。起訴された現在17歳の被告はこの人物と思われます。いずれにしても17歳と18歳という非常に若い世代が大手テクノロジー企業を標的にして不正アクセスし、データを盗むことで恐喝をしていたとみられているわけですからサイバー犯罪の若年化が懸念される事案です。
The Recordの記事によると、検察は2人が自分たちの行為を自慢するために使用していた電子メールやテレグラムのアカウントからIPアドレスを発見し、ハッキングと2人の関連を結びつけることができたと明らかにしたということです。Lapsus$による攻撃は、いわゆるビジネス化されたランサムウェアグループによる攻撃とはまったく異なっており、非常に場当たり的で計画性に欠け、テレグラムのチャンネルに様々な情報を公開し、テレグラムのチャットでやりとりをしているようです。
ブラジルのグループとの関係もささやかれ、テレグラムのチャットでのやりとりも英語にととまらずポルトガル語でも行われているようですが、一方でグループの主要人物とみられているのがイギリスのティーンエージャーというのは少し意外な印象も受けます。イギリスの検察の見立て通りこの2人がLapsus$の実態だということであれば、Lapsus$による事件とはサイバー空間でやりたい放題をしている若者に世界の企業が振り回された事件のようにも思えるのですが果たしてそういうことなのでしょうか? 今後、さらなる展開があるのかないのか気になるところです。
■出典
https://therecord.media/british-prosecutors-accuse-teen-lapsus-member-of-uber-revolut-rockstar-hacks