ハッカーのなかには自国政府から「許可」を得ている人もいる Photo: seksan Mongkhonkhamsao / Getty Images
Text by Amanda Chicago Lewis
偏見を逆手に取る
シャーにとって最も差し迫った問題は、どんなデータが取られたかであった。その会社にしか関係のない情報を得ただけなのか、それとも、ものすごい数の顧客情報ファイルにアクセスする方法を見つけたのか。
いずれの部署も、自分たちのサービス・プロバイダや自分たちのデータが漏洩したことを知らなかった。だがハッカーたちは、すでに彼らのシステムにも入り込み、あちこちを探りまわっているかもしれない。
同社のCEOは、身代金の支払いはしないとシャーに伝えていた。シャーの最初の狙いは、STORMのテクニカル・チームが探りを入れるための時間稼ぎをするため、すべてをスローダウンさせることだった。彼は、会社所在国における営業時間内のメッセージ送信を制限することにした。彼は自分にこう言い聞かせる。
「誰の命も危険にさらされてはいない。これはパートナーシップ協議のようなもので、ビジネス取引と変わらない」
もしハッカーにシャーがプロの交渉人だと悟られてしまえば不利になってしまうため、追跡ができない機械を使ってメッセージを送る。また、偽の肩書きも必要だ。シャーが平社員を騙れば、時間稼ぎをすることも容易になるだろう。ハッカーの側も、上司に取り次ぐため時間がかかっていると捉えるはずだ。
「最初は女性になりすまして接触します。よくないことではあるのですが、相手は犯罪者です。彼らはたいてい、重役は男性と決めつけているものなんです」
彼は以下のメッセージを電話口で伝え、数分後に送信するようにと指示した。
「こんにちは。あなたたちがどのデータを持っているかわからないので、その詳細を教えてください。よろしくお願いします。 IT管理部 ジュリア」
もしハッカーにシャーがプロの交渉人だと悟られてしまえば不利になってしまうため、追跡ができない機械を使ってメッセージを送る。また、偽の肩書きも必要だ。シャーが平社員を騙れば、時間稼ぎをすることも容易になるだろう。ハッカーの側も、上司に取り次ぐため時間がかかっていると捉えるはずだ。
「最初は女性になりすまして接触します。よくないことではあるのですが、相手は犯罪者です。彼らはたいてい、重役は男性と決めつけているものなんです」
彼は以下のメッセージを電話口で伝え、数分後に送信するようにと指示した。
「こんにちは。あなたたちがどのデータを持っているかわからないので、その詳細を教えてください。よろしくお願いします。 IT管理部 ジュリア」
やがてシャーは寝がえりを打って眠りについた。
2022年にサイバーセキュリティ保険の会社が米国企業に支払った金額は、40億ドル(約5750億円)以上にのぼった。請求内容はビジネス中断のコスト、危機対応の広報費用、事件対応チームへの代金、それに身代金が含まれている。
犯罪集団は多くの場合、暗号通貨での送金を要求する。サイバーセキュリティ企業のレコード・フューチャー社によれば、翌2023年にはランサムウェア攻撃は7割も増加し、少なくとも11億ドル(約1580億円)がハッカーの懐に入ったという。
しかし、多くの企業は被害を公表しないため、ランサムウェアによる被害の全貌を知ることは不可能だ。
サイバーセキュリティを専門とするジャーナリスト、ヴァレリー・リース・マルシーヴは実際の被害の10%ほどしか報告されていないと考えており、2023年に全世界でおこなわれたサイバー攻撃は4万4000件にものぼると推計する。企業側が隠蔽するのは、評判の低下を恐れているのみならず、個人情報流出で罰金を課されることを避ける狙いがあるのだ。
| 「仕事が奪われるかも」と危惧する作家、生成AIの裏側に潜入してみた |
隠蔽される被害
2022年にサイバーセキュリティ保険の会社が米国企業に支払った金額は、40億ドル(約5750億円)以上にのぼった。請求内容はビジネス中断のコスト、危機対応の広報費用、事件対応チームへの代金、それに身代金が含まれている。
犯罪集団は多くの場合、暗号通貨での送金を要求する。サイバーセキュリティ企業のレコード・フューチャー社によれば、翌2023年にはランサムウェア攻撃は7割も増加し、少なくとも11億ドル(約1580億円)がハッカーの懐に入ったという。
しかし、多くの企業は被害を公表しないため、ランサムウェアによる被害の全貌を知ることは不可能だ。
サイバーセキュリティを専門とするジャーナリスト、ヴァレリー・リース・マルシーヴは実際の被害の10%ほどしか報告されていないと考えており、2023年に全世界でおこなわれたサイバー攻撃は4万4000件にものぼると推計する。企業側が隠蔽するのは、評判の低下を恐れているのみならず、個人情報流出で罰金を課されることを避ける狙いがあるのだ。
2017年くらいまで、ランサムウェア攻撃は比較的まれであり、あったとしてもたかだか数百ドルの身代金を要求するにとどまっていた。しかし、金儲けの可能性が見出されるようになると、それを生業とする専門の犯罪集団が形成された。ほとんどはロシアやウクライナに本拠地を持つ。
サイバーセキュリティ保険会社で資産管理担当を務めるメーガン・ハンネスは、2019年に潮目が変わったと明確に感じたことを覚えている。保険金請求担当者が電話口で「メグ、今週は7件のランサムウェア請求があって、しかもどれも数百万ドルの要求だったの。もうお手上げ状態ね」と言った。数ヵ月後にはパンデミックが発生。多くのビジネスはオンラインでおこなわれるようになり、データを盗むチャンスはより増えた。
その頃からランサムウェア攻撃の数は右肩上がりを続けた。2022年にロシアがウクライナに侵攻したときまで、減少は見られなかった。減ったのは、この戦争でウクライナとロシアのハッカーたちが混乱したり、対立しあったりしたからだ。
犯罪集団の多くは、現在もロシアやウクライナで活動している。しかしながら、拠点はイラン、ブラジル、インド、北朝鮮、中国、ペルーにも出てきている。ハッカーたちのなかには海賊のように独自で活動するものもいれば、自国政府から認可をもらっているものもいる。後者は軍事的、外交的反応をもたらさない範囲において、西側企業への嫌がらせをする許可を得ているのだという。
国家の後ろ盾を持つものと、独立起業家によるものとを区別するのは難しい。FBIサイバー課課長補佐のブライアン・ヴォーンドランは、その差異はあいまいだと言う。
サイバーセキュリティ保険会社で資産管理担当を務めるメーガン・ハンネスは、2019年に潮目が変わったと明確に感じたことを覚えている。保険金請求担当者が電話口で「メグ、今週は7件のランサムウェア請求があって、しかもどれも数百万ドルの要求だったの。もうお手上げ状態ね」と言った。数ヵ月後にはパンデミックが発生。多くのビジネスはオンラインでおこなわれるようになり、データを盗むチャンスはより増えた。
その頃からランサムウェア攻撃の数は右肩上がりを続けた。2022年にロシアがウクライナに侵攻したときまで、減少は見られなかった。減ったのは、この戦争でウクライナとロシアのハッカーたちが混乱したり、対立しあったりしたからだ。
一般企業のようなハッカー集団
犯罪集団の多くは、現在もロシアやウクライナで活動している。しかしながら、拠点はイラン、ブラジル、インド、北朝鮮、中国、ペルーにも出てきている。ハッカーたちのなかには海賊のように独自で活動するものもいれば、自国政府から認可をもらっているものもいる。後者は軍事的、外交的反応をもたらさない範囲において、西側企業への嫌がらせをする許可を得ているのだという。
国家の後ろ盾を持つものと、独立起業家によるものとを区別するのは難しい。FBIサイバー課課長補佐のブライアン・ヴォーンドランは、その差異はあいまいだと言う。
「犯罪者は利益を得るために諜報機関にサービスを提供しているかもしれないし、あるいは逆に、国が訓練したハッカーが通常業務外に自らの金銭的利益のための副業としておこなっているかもしれない」
犯罪集団のほとんどは、人事部や複雑な官僚機構を備えており、一般の企業と変わらない形で活動している。著名なグループになるとプレスリリースを配信(「我々はヘンリーシャインのネットワークの暗号化に成功、35TBの情報を抽出したことをここにご報告します」など)するし、ダークウェブ上にはユーザーフレンドリーなホームページさえ用意している。そのページで、ランサムウェア攻撃被害者は歪んだ「カスタマーサービス」を受けることができるのだ。
ある交渉人は、そのカスタマーサービスが「アップルより素早く親切だ」と語る。「我々はあなたが安全かつ簡単にすべてのファイルを回復できることを保証します」と書かれた下には「サポートチャット」のボタンがある。
このように、これらの犯罪集団はあまりにもビジネスライクである。2年前に流出したある犯罪集団の内部チャットは、不満を抱える会計士のそれと何ら変わらなかった。「簡単で単調な仕事ばかり、毎日同じことの繰り返しだ!」などと書かれていたのだ。
やがて犯罪者たちは、そのビジネスモデルをライセンス化し、「アフィリエイト」と呼ばれるフリーランサーたちがそれを購入するようになった。フリーランサーが犯罪集団のソフトウェアとライセンスを購入するということは、彼らの挙動が犯罪集団の信頼性に関わるということを意味する。
犯罪集団のほとんどは、人事部や複雑な官僚機構を備えており、一般の企業と変わらない形で活動している。著名なグループになるとプレスリリースを配信(「我々はヘンリーシャインのネットワークの暗号化に成功、35TBの情報を抽出したことをここにご報告します」など)するし、ダークウェブ上にはユーザーフレンドリーなホームページさえ用意している。そのページで、ランサムウェア攻撃被害者は歪んだ「カスタマーサービス」を受けることができるのだ。
ある交渉人は、そのカスタマーサービスが「アップルより素早く親切だ」と語る。「我々はあなたが安全かつ簡単にすべてのファイルを回復できることを保証します」と書かれた下には「サポートチャット」のボタンがある。
このように、これらの犯罪集団はあまりにもビジネスライクである。2年前に流出したある犯罪集団の内部チャットは、不満を抱える会計士のそれと何ら変わらなかった。「簡単で単調な仕事ばかり、毎日同じことの繰り返しだ!」などと書かれていたのだ。
やがて犯罪者たちは、そのビジネスモデルをライセンス化し、「アフィリエイト」と呼ばれるフリーランサーたちがそれを購入するようになった。フリーランサーが犯罪集団のソフトウェアとライセンスを購入するということは、彼らの挙動が犯罪集団の信頼性に関わるということを意味する。
彼らはフリーランサーによって自らの評判を損なわれないよう、規約を強化していった。ある集団は2023年、「最初に要求した額から50%以上値引きすることは厳禁とする」とアフィリエイトへ伝えた。
ランサムウェア攻撃を成功させるにはさまざまなスキルが必要になる。マルウェアの開発、それを使用したサーバーへの侵入、盗んだデータの処理、被害者との交渉といった業務のそれぞれは、通常別々のチームや担当者がおこなう。各部署は別々の国にある場合もあるし、相互に連絡を取っていないこともある。こうした拡散的な構造があるため、ランサムウェア犯罪集団の摘発、犯行阻止は至難の業である。
ランサムウェア攻撃の対象はほぼ無差別だ。犯罪集団は、まるで駐車場で鍵のかかっていない車を手当たり次第に盗んでいく泥棒のように、好き勝手やる。不正アクセスはほとんどの場合、怠け者や騙されやすい人間による愚かなミスを突いておこなわれる。多要素認証を設定しない、怪しいリンクも平気で開く、経営側がIT専門の担当者を雇用しない、パスワードをスプレッドシートに書いて管理する……。
犯罪集団が進歩しているというよりも、そんな不用心な人々がカモにされている部分もあるのだ。(続く)
ランサムウェア攻撃を成功させるにはさまざまなスキルが必要になる。マルウェアの開発、それを使用したサーバーへの侵入、盗んだデータの処理、被害者との交渉といった業務のそれぞれは、通常別々のチームや担当者がおこなう。各部署は別々の国にある場合もあるし、相互に連絡を取っていないこともある。こうした拡散的な構造があるため、ランサムウェア犯罪集団の摘発、犯行阻止は至難の業である。
ランサムウェア攻撃の対象はほぼ無差別だ。犯罪集団は、まるで駐車場で鍵のかかっていない車を手当たり次第に盗んでいく泥棒のように、好き勝手やる。不正アクセスはほとんどの場合、怠け者や騙されやすい人間による愚かなミスを突いておこなわれる。多要素認証を設定しない、怪しいリンクも平気で開く、経営側がIT専門の担当者を雇用しない、パスワードをスプレッドシートに書いて管理する……。
犯罪集団が進歩しているというよりも、そんな不用心な人々がカモにされている部分もあるのだ。(続く)
第3部では、交渉がいよいよ大詰めを迎える。交渉人シャーのテクニックとハッカー集団の不手際により、身代金を半額以下に値下げする交渉が成立し、終わったかに見えたが、シャーはそこからまさかの行動に出る……。
| 人質交渉のプロに学ぶ「交渉で望んだ結果を得るためのテクニック」 |
 | 英紙の分析「日本企業が『ランサムウェア集団』の猛攻撃に簡単に屈していない理由」 |
 | 中国軍のサイバー兵士は7万人─世界が追いつけないレベルのハッキング、その実態とは |
PROFILE
翻訳:福田真郷
