今年秋、東欧セルビアを拠点とする新興ハッカー集団「RansomedVC(ランサムド・ブイシー)」が、企業のサイバー攻撃対策を請け負うセキュリティー関係者らの注目を集めた。8月に活動を始めてから1カ月しかたっていないのに、日本の大企業のソニーとNTTドコモにサイバー攻撃を仕掛け、機密データや顧客の個人情報を入手したと「戦果」を誇示したからだ。
主張通りなら、凄腕のハッカーが集結して、今後も大企業が次々と被害に遭うかもしれない―。そう考えて首領格の「リーダー」に通信アプリを使って取材を試みた。すると「日本人ハッカーの協力で入手した」というメッセージとともにドコモの顧客情報らしきデータの一部が送られてきた。(共同通信=角亮太)
▽ソニー、ドコモ…60の企業の機密データを盗み出した
ランサムドが日本で初めて注目されたのは10月4日、ソニーが「何者かに不正アクセスを受けた」と明らかにしたことがきっかけだった。少なくとも国内の社内サーバー1台が被害を受けた。業務に大きな影響はなかった。誰がソニーを攻撃したのか。ソニーが攻撃を受けたことを明らかにした数日前、匿名性が高く、一般のブラウザではアクセスできないダークウェブに犯行声明が掲載された。サイトに明示されたハッカー犯罪集団は「ランサムド・ブイシー」。ソニーのほか、NTTドコモからも機密データや個人情報を盗んだと主張し、金銭を払わないと盗んだデータを公開すると脅していた。
ハッカー集団のうち金銭を目的にサイバー攻撃を仕掛けるグループは、ダークウェブにサイトを設けることが多い。サイトには犯行声明のほか、盗んだデータが「本物」だと主張するためにデータの一部をサンプルとして掲載する。被害者が金銭支払いに応じないと、サイトを通じてデータを丸ごと公開したり第三者に売却したりする。
セキュリティー企業の三井物産セキュアディレクション(東京)の吉川孝志さんによると、ランサムドは元々、ハッカーが情報交換するダークウェブのフォーラム(掲示板)を運営していた。別のハッカーフォーラムから「フォーラムのつくりが似ている」と疑いをかけられてトラブルになり、今年8月、金銭目的にサイバー攻撃をするハッカー集団に衣替えしたばかりだった。
金銭目的のハッカー集団の多くは身代金要求型コンピューターウイルス「ランサムウエア」を使って、企業のデータを盗んだ上で暗号化する。ハッカーは暗号化によって業務を続けられなくなった企業に連絡を取り、「データを元に戻してほしければ、金銭を支払え」と脅迫する。企業が金銭の支払いに応じなければ、データを公開すると脅す。ランサムドはランサムウエアを使うとされているが、攻撃先の企業が持つ機密データの暗号化はしない。
ランサムドは個人情報を流出させた企業などに巨額の制裁金を科す欧州連合(EU)の「一般データ保護規則(GDPR)」を逆手に取り、金銭を支払えばサイバー攻撃による情報漏えいが表に出ず、制裁金を免れられると誘いかける。盗んだデータを暗号化しないのは、攻撃に遭った企業が普段と変わらず業務を続けられるようにし、外部から情報漏えいを疑われないようにしているためとみられる。
ランサムドはサイトでソニーやドコモ、米信用調査会社トランスユニオンなど約60の企業のデータを盗んだと主張しているが、吉川さんは事実かどうか疑わしいものも少なくないと分析していた。ソニーの犯行声明を出した後、別のハッカーが「データは自分が盗んだものだ。自分が公開したデータのサンプルを、あたかもランサムドが盗んだように見せかけている」と告発していた。ただ、ソニーはランサムドによるものかどうかはともかく、攻撃を受けたことを認めていた。
しかし、ランサムドが同じように犯行声明を出したドコモに取材すると、「24時間体制でサイバー攻撃を監視しており、被害は受けていない」とランサムドの主張を強く否定した。吉川さんのようなセキュリティーの専門家や多くのハッカーからは「ランサムドがドコモに攻撃したというのはうそではないのか」という見方が出ていた。
▽「メンバーは日本人含む98人、6億円を奪った」と主張
ハッカー集団の目的は主に三つに分けられる。軍や情報機関などと関連を持ち、高度な技術で政府や企業の機密情報を盗む国家支援型。反戦や自然保護など、政治的な主張を広げるため活動するハクティビスト。そして、身代金要求型コンピューターウイルス「ランサムウエア」などを使い、企業を脅迫する金銭目的のハッカー集団だ。
近年猛威を振るうのはランサムウエアを使うハッカー集団で、活発に活動しているのは70程度ある。ただハッカー同士の金銭トラブルや捜査機関の捜査などにより、ほとんどの集団は2、3年程度で解散し、別のグループとして出直すことになる。
ランサムウエアを使う最大の集団「ロックビット」は、1カ月に100以上の犯行声明を出すこともある。ランサムドは活動開始からわずか2カ月で約60の犯行声明を出し、ハッカー集団の中で頭角を現していた。
ランサムドの実態を探ろうと、所属するハッカーに取材してみようと思った。秘匿性の高い通信アプリ、テレグラムを通じてランサムドに「取材をしたい」と連絡すると、テレグラムからメッセージが返ってきた。ハッカーはセルビア人の「Moci Bosi」で、リーダー兼オーナーだと名乗った。「ランサムドのメンバーは日本人ハッカーを含む98人。日本人ハッカーの中には暗号資産(仮想通貨)の取引に使われるブロックチェーン(分散型台帳)技術の研究者として有名な人物がいる。組織の構成はリーダーの下に幹部がおり、『モデレーター(進行役)』や『オペレーター(操作員)』という肩書を持っている。幹部の下で実際にサイバー攻撃を実行する人物は『アフィリエイター(提携者)』と呼んでいる。サイトでは約60の企業のデータを盗んだと掲載しているが、実際は約120の企業や団体を攻撃して400万ドル(約6億円)以上を奪った」ということだった。
ソニーとドコモへの攻撃について尋ねると「日本人ハッカーの協力があった」と説明した。ソニーからはスマートフォン1台分の容量に相当する、240ギガバイトの設計データを盗んだという。「ソニーは金銭支払いの要求に応じなかったので、データを誰かに売ろうと考えている」とメッセージをよこした。
ドコモからは顧客情報のデータベースを盗み、約100万ドル(約1億5千万円)を要求したと説明した。ドコモから「30万ドルなら支払える」との回答があった。要求額を90万ドルに下げたが、ドコモは「40万ドルが限界だ」と回答し、裏取引の交渉は決裂したのだという。もちろん、ドコモは攻撃で被害を受けたこと自体を否定しており、ランサムドとの交渉はしていないとの立場だ。「Moci Bosi」は「ドコモの情報システムへの侵入方法を第三者に売った。10ビットコイン(約5千万円)以上で売れた」ともコメントした。
ドコモと新興ハッカー集団との裏取引の交渉はあったのだろうか。真相を明らかにするためさらに取材を続けた。(後編へ続く)
「近いうちに日本に行く」と軽口をたたいたセルビアのハッカー集団リーダーはサイバー空間の闇に消えた 【サイバー空間の新たな犯罪者たち・後編】
