사진 확대

病院やマンション管理事務所など多数の人的情報が含まれた国内業者のサーバーに侵入し、ランサムウェア攻撃を行った組織の総責任者がカザフスタンで検挙された。 警察がカザフスタンの捜査機関と協力して現地で直接被疑者を検挙したのは今回が初めてだ。

京畿南部警察庁サイバー捜査課は昨年7月、情報通信網法違反(悪性プログラム流布)および恐喝未遂の疑いを受けているカザフスタン国籍の男性A氏(35)を現地で検挙したと15日明らかにした。

A氏は2022年から昨年7月までランサムウェア組織の総責任者の役割をし、病院とマンション管理事務所をはじめとする国内企業6社のサーバーに侵入し、内部データを暗号化した人物だ。

A氏の組織は、韓国のほかにも、さまざまな国のサーバーを狙って、点組織の形で犯行を行い、暗号化したサーバーを復号化する見返りとして、ビットコインを要求した。

攻撃された国内業者のうち、A氏組織の要求に応じてビットコインを送金したところはなかったが、しばらくサーバーが麻痺するなどの被害を受けたことが確認された。

特にA氏の組織は、国内企業がサーバーを設置して運営する過程で、基本設定されたIDとパスワードを変更しなかったり、単純な文字列で入力しておくという点を狙った。

彼らは、よく使われるアカウント情報を各会社のサーバーに無作為に代入する方式でサーバーに浸透し、システム権限を奪取した後、攻撃を続けていたことが明らかになった。

京畿南部庁は2022年9月、関連申告を受けて捜査に着手し、被害サーバーを分析した末に犯行に使われたカザフスタンIPアドレスを確保した。 さらに、カザフスタンと数回にわたって刑事司法協力とテレビ会議を経た末、A氏の身元を特定した。

警察はカザフスタンの捜査機関である国家安全委員会（NSC）と協力作戦に乗り出し、昨年7月1日、現地でA容疑者を検挙した。 また、同日、カザフスタンのアルマトイに位置したA氏の住居地を押収捜索した。

現場では多数の国内業者のサーバーに対するランサムウェア攻撃がリアルタイムで行われており、警察がこれを中断させたと伝えられた。

A氏は、韓国をはじめとする複数の国のサーバーを対象に犯行を行った余罪が明らかになり、現在カザフスタンで刑事処分を受けたという。

警察はA氏が検挙された後も、余罪捜査などのためにカザフスタンの捜査機関と疎通し、今月初めにA氏に対する捜査を終えた。

警察は追加被害防止のため、今回の捜査過程で確保したランサムウェア復号化技術と関連した情報を韓国インターネット振興院（KISA）など関連機関と共有する計画だ。

警察関係者は「サーバーに基本設定された管理者アカウント情報は必ず変更し定期的にパスワードを更新しなければならない」として「多段階認証適用、接近統制およびアカウント使用履歴点検など基本保安措置を徹底することが重要だ」と頼んだ。