身代金要求型のウイルス「ランサムウエア」を使う、世界最大とされる犯罪グループ「ロックビット」を、イギリスが主導する国際捜査が摘発した。
ロックビットはロシアを拠点とし、他の犯罪者らにサービスを販売して、最も多くの被害を引き起こしてきたランサムウエア集団とみられている。
犯罪者らはロックビットのウイルスを使って企業や組織のコンピュータに侵入。身代金を支払うまでユーザーを締め出す。データを盗んで公開すると脅すことも多い。
昨年1月には、イギリスで郵便事業を運営するロイヤル・メイルが攻撃され、国際輸送に支障が出た。同11月には中国工商銀行(ICBC)も攻撃を受け、金融界に大きな影響を与えた。米航空機製造ボーイングなども被害を受けたとされている。
NHKによると、日本でも昨年、ロックビットのウイルスによって名古屋港のコンテナターミナルが攻撃され、コンテナの積み降ろしができなくなった。2021年には徳島県の病院でカルテ情報などが暗号化され、新規患者の受け入れを停止するなどした。
ロックビットは2019年ごろ出現。ランサムウエア市場で推定約20~25%のシェアを占めるなど圧倒的な存在となっている。
英国家犯罪対策庁(NCA)は今回、そのロックビットのシステムに入り込み、活動に関する大量のデータを取り出した。
ダークウェブにあるロックビットのサイトには19日夜、「法執行当局の管理下に置かれている」とのメッセージが表示された。
今回の摘発は、サイバー犯罪の世界で最も意義の大きなものの一つとされている。米連邦捜査局(FBI)、欧州警察機構(ユーロポール)、日本の警察庁など、世界の捜査機関が長期にわたる作戦に関わった。この種の摘発を英機関が主導するのは初めてだという。
NCAトップのグレアム・ビガー氏は20日朝の記者会見で、ランサムウエアを使った昨年1年間の攻撃の4分の1がロックビットのウイルスによるものだったとの見方を示した。
また、被害総額は巨額だと示唆し、被害件数はイギリスで確認されている200件を含め、世界全体で何千件にも上ると述べた。
多くの企業はハッキングに遭った場合、被害を公表せず、身代金を支払うこともある。そのため、今回の摘発でロックビットの活動データが手に入ったことで、この集団の影響の真の規模がうかがえる可能性もある。
ブランド力の低下を狙う
ロックビットは「アフィリエイト」と呼ばれる顧客にさまざまな犯罪サービスを販売してきた。
アフィリエイトは金銭を支払って、悪意あるソフトウエアと助言の両方を受け取り、ハッキングを実行する。
今回の摘発の後、サイトにログインしようとしたアフィリエイトは、ロックビットが手入れを受けたことを説明し、「私たちはすぐにあなたに連絡するかもしれません」と書かれたメッセージを目にすることになった。
こうした摘発はこれまでもあったが、すぐに犯罪グループが復活することも少なくなかった。ただ今回は、グループの信頼性を損なうことで、大きな打撃を与えることを狙っている。ロックビットはブランド力に大きく依存しているからだ。アフィリエイトに、情報を捜査機関に握られていると認識させ、ロックビットから離れさせる効果も期待している。
ロックビットに関わっている人々は、ロシアを拠点にしていると考えられている。西側捜査機関の逮捕権が及ばないため、活動を損なうには、混乱を生じさせることが現実的な唯一の方法となることが多い。
FBIが昨年、「ブラックキャット」という名のグループに対して同様の摘発をした際には、同グループと米警察当局との間でサイトの管理権をめぐって争いとなった。これは、この手の作戦が計画どおりに行くとは限らないことを示している。
しかし今回は、ロックビットの活動を公にすることで、その活動を十分に混乱させ、早期の復活を防ぐことが期待されている。
(英語記事 Lockbit: UK leads disruption of major cyber-criminal gang)
