WikiLeaksはジュリアン・アサンジ氏が創設した告発系サイトですが、そのWikiLeaksの模倣・類似サイトは50以上あるということです。WikiLeaksV2というサイトもそんなWikiLeaksの模倣・類似サイトの1つのように思われましたが、WikiLeaksV2の背景にはアサヒGHDを攻撃し日本でも知られるようになったQilinランサムウェアのグループの関与があるようです。
米制裁のホスティング事業者が関与か
WikiLeaksV2が登場したのは2024年2月だということです。当時、このサイトのドメインはwikileaksv2.comで、このドメインはレジストラNiceNICによって登録されたようです。NiceNICは香港を拠点とする事業者のようです。また、このドメインはCat Technologies Co. Limitedというインターネットサービスプロバイダーによってホストされ、このドメインに割り当てられているIPアドレスによれば、Cat Technologies Co. Limitedは香港で登録されているロシアに所在する事業者だったようです。また、Cat Technologies Co. Limitedにはstarcrecium.comをドメインとするメールアドレスが紐づいていました。ネット情報によると、Starcreciumはサイバー犯罪者にIPアドレスを提供する「防弾ホスティング」サービスに関与しているキプロスで登記されている企業だということです。
ネット情報によると、StarcreciumはロシアのIPアドレスを管理し、ランサムウェアグループやアンダーグラウンド市場にアドレスを貸与しているとされ、ロシアを拠点とするハッキンググループ「Lorec53」がStarcreciumの管理する複数のロシアのIPアドレスを使用していたことが判明しているということです。米財務省は今年7月、ロシアを拠点とする防弾ホスティングサービスのAeza Groupとその子会社でキプロスで登録されているAeza International Ltdなどを制裁指定しましたが、StarcreciumはAeza International Ltdのフロント企業とみられており、実質的にAeza Groupの一員との見方がされています。
ダークネットのリークサイトに貼られたリンク
WikiLeaksV2のサイトは、WikiLeaksに似せた作りで「私たちは、国際組織ウィキリークスが直面したあらゆる困難にもかかわらず、生き続け、これからも生き続けるジュリアン・アサンジ事件の追随者です」などとする紹介文が掲載されており、この文章は2024年4月に投稿されたものとみられ「現在、当組織は20TBを超えるデータを保有しており、ブログで段階的に公開し、誰でも利用できるようになります」などと記しています。そして現在、100件もの投稿が行われています。
これら投稿で掲載されている組織や企業は、アサヒGHDを攻撃し日本でも報じられたQilinランサムウェアのリークサイトに掲載されているものと同じだという指摘があります。また、サイバーセキュリティのソフォスによると、QilinのリークサイトにはWikiLeaksV2のリンクが貼られており、ソフォスはWikiLeaksV2をQilinがダークネットにとどまらずオープンソースを使って脅迫行為を行うために立ち上げたサイトとの見方をしています。実際、WikiLeaksV2のサイトでもQilinについての記述があります。一方でQilinとWikiLeaksV2とは必ずしも同一ではなく異なるグループとの見解もあるようです。Qilinはロシアを拠点とするRaaSのランサムウェアグループで、その背景には複数のロシアのサイバー脅威が関わっていると見られていることから、広い意味ではQilinもWikiLeaksV2もロシアのサイバー脅威という点で同一と言えるかもしれません。
WikiLeaksV2はウェブサイトにとどまらずSNSでも発信しており、その投稿には政治的な内容も含まれています。ランサムウェアは従来、アンダーグラウンドの領域で展開されていましたが、WikiLeaksV2やその関連するSNSはオープンな領域で発信されており、ランサムウェアの脅威がオープン領域にまで進出してきた実態を示しているとも言え、その動向には注意が必要です。
【出典】
https://medium.com/@Intel_Ops/wikileaks-version-2-8d380726c5df