この夏、新たに登場した東欧セルビアを拠点とする新興ハッカー集団「RansomedVC(ランサムド・ブイシー)」。活動開始から1カ月で、ソニーやドコモ、米信用調査会社トランスユニオンなど約60の企業のデータを盗んだとダークウェブ上で明らかにしていた。私は犯罪の実態を明らかにしようと、ランサムドのリーダーを名乗る人物に対し、秘匿性の高い通信アプリ「テレグラム」を使って直接取材を試みた。その後待っていたのは、意外な結末だった。(前編より続く、共同通信=角亮太)
東欧セルビアの新興ハッカー集団の台頭「ドコモの顧客個人情報を盗んだ」? 【サイバー空間の新たな犯罪者たち・前編】
▽送られてきた7枚の画像
10月下旬。テレグラムを使ったランサムドのリーダーへの取材は続いた。リーダーを名乗る「Moci Bosi」はドコモに対して盗んだデータの買い取りを要求したものの裏取引の交渉は決裂したと明かした。
私は「ドコモと交渉した証拠があるのなら見せてほしい」と頼んだ。Mociは「自分の安全を守るために見せられない」という。「本当にドコモからデータを盗んだのか」と質問すると、「証拠はある」と7枚の画像が送られてきた。画像には「NTT.sql」というファイルのデータが写っていた。盗んだデータに含まれている、会社名や電話番号、メールアドレス、暗号化されたパスワードが写っているものもあった。一見したところ、ドコモから盗まれたデータだと判断できる情報は見当たらなかった。
セキュリティー企業の三井物産セキュアディレクション(東京)の吉川孝志さんに送られてきた画像の調査を依頼し、一般公開されている情報からデータの素性を絞り込むと、東海地方のインターネット関連企業のデータベースに関わる可能性が浮上した。ドコモのデータではない公算が大きくなった。
私は「Moci Bosi」から入手したデータに映り込んでいた日本語の単語や文章を片っ端からネットで検索をかけ、類似する単語や文章が記載されたサイトを少しずつ絞り込んだ。東海地方のネット関連企業のデータの可能性が高いとの心証を得た上で取材すると、ランサムドから提供を受けた画像のデータが自社の顧客情報と一致したことを認めた。取材を受けるまでサイバー攻撃を受けたこと自体を把握していなかった。どこからどうやって情報システムに侵入され、どのデータを盗まれたのかも分からないという。ネット関連企業の幹部は「これから被害の調査と顧客への謝罪や説明に全力を尽くす」と話した。
▽ハッカー犯罪集団がおわび
ランサムドが盗んだのはドコモのデータではなく、東海地方のネット関連企業のデータではないのか。ランサムドの「Moci Bosi」に再びテレグラムで連絡を取った。「送られたデータを調べると、ドコモではない別の会社のものだった。どういうことなのか」と尋ねると、「データはNTTだ」「ドコモだ」と曖昧な説明を繰り返した。混乱しているのは明らかだった。「ドコモではなくて別の会社のデータだ。その会社も認めた。あなたはうそつきなのか?」と食い下がると「チームで確認したい。少し時間をくれ」と回答が来た。
次の回答が来たのは10月24日未明だった。「ドコモのデータと別の会社のデータが混ざってしまっていた。おわびにデータを破棄して悪用できないようにする」とのメッセージが届いた。「『ドコモからデータを盗んだ』という主張は本当か」「本当にドコモを攻撃したのか」「ドコモと金銭支払いの交渉はしたのか」など、いくつもの質問を続けたが、「忙しい」というだけで回答はなかった。
▽FBIやエアバスから情報を盗んだ「凄腕ハッカー」が関与
同じ10月24日、セキュリティーのベンチャー企業「アンノウン・テクノロジーズ」(東京)から「ランサムドがドコモから盗んだと主張していたデータの全てを入手した」と私に連絡が来た。アンノウン・テクノロジーズはハッカー人脈を駆使して、日本企業や団体が舞台となったサイバー犯罪に関連する情報を集めている。10月上旬、ある匿名ハッカーから「日本企業のデータがある。興味はないか」と連絡を受けたという。
匿名ハッカーは「USDoD」。2022年に米連邦捜査局(FBI)の情報共有サイト、23年には欧州航空機大手のエアバスにサイバー攻撃を仕掛け、個人情報を盗んだことで、セキュリティー関係者に「凄腕」として知られている。ランサムドと協力関係にあり、ランサムドがドコモから盗んだと主張しているデータは、元はUSDoDが盗んでランサムドに提供したという。アンノウン・テクノロジーズの園田裕大さんは「USDoDは日本語が分からず、盗んだデータの価値を見極めるために接触してきたのだろう」と推測する。
園田さんは、私がランサムドから入手した画像とまったく同じ画像をUSDoDから入手していた。USDoDはNTTのデータだと説明していた。園田さんにUSDoDへの連絡をお願いし、画像は東海地方のネット関連企業のデータかどうか、確認を取ってもらった。すると「面倒なので全てのデータを無料提供する」と言い出した。容量は9ギガバイトあり、三井物産セキュアディレクションの吉川さんに解析を依頼すると、東海地方のネット関連企業のデータベースで、「Moci Bosi」が筆者に送り付けてきた画像と完全に一致するデータが多数含まれていた。
USDoDは10月23日、ハッカーフォーラムに園田さんに送ったものと同じデータを公開していた。「データを盗んで資金を奪うビジネスにうんざりした」と投稿し、ランサムドとの協力関係を解消したと強調していた。ランサムドの「Moci Bosi」に連絡すると、USDoDとの決裂を認めた。「データを消去するつもりだったが、USDoDが持って行った。申し訳ない」と返信があった。
▽ランサムドの「解散宣言」
10月末、ランサムドはドコモなどへの犯行声明をダークウェブのサイトから削除した。「捜査機関の監視に耐えるのが嫌になった」とサイトに投稿し、サイバー攻撃に使ったコンピューターウイルスのプログラムや、企業から盗んだデータの一切合切を売却したいと表明した。「Moci Bosi」に取材すると「日本企業のデータはほかにはないから心配するな」と答えた。
ハッカーはなぜ、東海地方のネット関連企業のデータを、ドコモやNTTのデータだと間違ってしまったのだろうか。アンノウン・テクノロジーズの園田さんは盗まれたデータの中にNTTが提供するネット回線番号を示す文字列「CAF」があったことに注目する。顧客に割り振られた回線番号を見て、「NTTグループのデータだ」と誤って判断した可能性がある。東海地方のネット関連企業は「ハッカーから脅迫文を受け取っていないし、交渉もしていない」と説明している。
ランサムドの「Moci Bosi」に盗んだデータを公開しない代わりに資金を払わせる交渉を本当にしたのかどうかを再度、質問した。「Moci Bosi」は本当に交渉をしたと主張したが、「組織の方針により、交渉の証拠は提供できない」とかたくなだった。「捜査を受けたら、『あれは冗談だった』と言う」と理由を説明した。捜査機関に言い逃れをするため、証拠を残さないようにしているのだという。「近いうちに日本に行くつもりだ。そこで直接インタビューを受けてもいい」と冗談なのか本気なのか分からないメッセージも送ってきた。
最後に「Moci Bosi」に連絡を取ったのは11月9日の未明だった。「交渉を本当にしたのか」と、もう何度目になるのか分からない質問をした。「あった。交渉は決裂した。うそをついているのは彼ら(東海地方のネット関連企業)だ」。短い回答の後、「Moci Bosi」はテレグラムの自身のアカウントを削除した。ランサムドのハッカー集団としてのアカウントは残していて「6人の関係者が逮捕された。メンバーは全員解雇した。未熟な人間を雇ったことが失敗だった」とメッセージが投稿された。ハッカー集団の解散宣言だった。
▽「うそがばれて取り繕うことができずに組織が崩壊」
ハッカー集団は最新のプログラム技術を悪用したコンピューターウイルスを駆使し、何重にも守られた企業の情報システムに侵入して、サーバーに保存された機密データや個人情報を盗み出す。盗んだと主張していたデータが、全く別の企業のものであることが露呈すれば、ハッカー集団の技術力が疑われる。そうなると企業はそのハッカーを相手にせず、「機密データを盗んだから資金を払うように」と脅されても、まともに取り合わなくなる。三井物産セキュアディレクションの吉川さんはランサムドの解散について「取材によってうそか勘違いがばれた。取り繕うことができずに組織が崩壊したのではないか」と解説する。「ドコモがサイバー攻撃で被害を受けたという、誤った情報が交流サイト(SNS)に拡散していた。風評被害を抑える一助になれたのであれば光栄だ」とも話してくれた。
ランサムドと決別したUSDoDは活動を続け、盗んだデータをダークウェブに公開している。「ランサムドとの関係について聞きたい」とハッカーフォーラムを通じてメッセージを送ったが、返信はなかった。インターネットの闇の中では、いくつものハッカー犯罪集団が生まれては消えていく。
