当ホームページでは、2020年10月にRussianOSINTのYouTubeチャンネルにて公開された、ランサムウェアグループREvilへのインタビューに関する動画を日本語テキストに翻訳して掲載いたしました。これは日本でも活動が活発なREvilについてのインサイトを得るためです。
我々は、RussianOSINTに対して「どのようにREvilメンバーに接触し、インタビューを行ったのか?」「RussianOSINTとは、どのような人物が運営しているか」また、「ロシアの視点からランサムウェア攻撃を始めとしたサイバー犯罪、及び犯罪者に関してどのような見解を持っているか」について確認することにいたしました。
そして弊社はRussianOSINT運営者にコンタクトを取り、2021年3月に直接インタビューを行う機会を得ました。こちらは、その回答内容をまとめた記事です。
弊社は該当のYouTubeチャンネルとは無関係であり、また、その内容の正確性及び安全性を保証するものではありません。よって掲載されている情報に起因して被った損害、損失に対して弊社は名目の如何を問わず一切の責任を負いません。
インタビュー要約
問1.我々が最初にRussianOSINTの活動を目にしたのは、REvilメンバーへのインタビュー動画でした。その後、あなたがその他のサイバー犯罪者へのインタビューも行っていることを知りました。どのようにしてインタビュー対象者を見つけているのでしょうか。どのように対象者とやり取りをしているのですか。
―――(インタビュー対象者が実際にサイバー犯罪に関与しているという証拠はないとした上で、)実際にサイバー犯罪を行っている人物はインタビューに応じないという傾向があります。犯罪行為の詳細を公表することで、自分自身に捜査の手が及ぶ可能性があるためです。 REvilメンバーへのインタビューは、テキスト方式で行いました。このような形式になったこと、また連絡先を入手できたことは全くの偶然でした。雑誌「ハッカー」で、あるハッカーがハッキングフォーラム上で100万米ドルのデポジットを支払ったことを知り、その人物と連絡を取りたいと思いました。ビデオ形式でのインタビューを依頼すれば即座に断られると思ったので、100万米ドルのデポジットを保有する人物にテキスト形式でのインタビューを提案しました。この戦略は成功したと言えます。正直、自分自身でもインタビューが成功するとは予想していませんでした。
問2.世界中のサイバー専門家によると、ランサムウェアは今年の最大の脅威として認識されています。この考えに賛同しますか。なぜ、現在、ランサムウェアが脅威となっているのでしょうか。
―――自分もそう考えます。サイバーセキュリティ企業も認めていることですが、昨年、サイバーセキュリティ市場は拡大し、より多くの人々がランサムウェアグループに関与するようになりました。ランサムウェアグループは組織化されているという特徴があります。
ランサムウェアグループは、ネットワークへの侵入を担当する者とデータの暗号化を担当する者に分かれています。このような明確な分業体制は、効率の観点から功を奏していると言えます。そのため、大方、この傾向は維持されるでしょう。 サイバーセキュリティ企業による報告書によると、然るべき対策を講じている企業であっても、ランサムウェア攻撃を受けた場合に身代金を支払うように圧力をかけられるのではないかと懸念しています。また、ランサムウェア攻撃の被害を受けた企業のうち約30%は、身代金を払う選択をしました。加えて、ランサムウェアグループ自身も新しい技術を習得し続けています。これらのことを考慮すると、この傾向は続くと考えています。
問3.2021年、ランサムウェア市場はどのように変化するとお考えですか。
―――(サイバーセキュリティ企業に勤務している訳ではないため詳細な情報は持ち合わせていないとしつつ、)少なくとも、数年の間は、ランサムウェアの傾向は継続すると思います。 サイバー犯罪は変化し続けています。数年前には、ATMを狙った手口がよく使われていましたが、サイバー犯罪者の関心は、捕まるリスクがより低いインターネット空間に移行しています。それに伴い、ランサムウェア攻撃が多く仕掛けられるようになりました。標的となり得る例として、基幹インフラ施設や製薬会社等が挙げられます。
問4.ランラムウェアの攻撃者はどのような人々なのでしょうか。通常、どの国籍の人々が多いでしょうか。また、年代や学歴について特徴はありますか。
―――REvilメンバーの1人と連絡を取った際に、文体やテキストの内容から判断して唯一気づいたことは、相手は決して愚かではないということです。すなわち、質問に的確に回答していたということです。年齢や学歴については、一問一答の形式のテキストで連絡をしていたので、判断することは難しいです。また、自分としても、あまり多くを知ろうとはしませんでした。
問5.ランサムウェアグループのメンバーは、どのようにして専門技能を身に着けるのでしょうか。また、どのような経緯でサイバー犯罪者になるとお考えですか。
―――正直分かりません。この点については、サイバーセキュリティー企業でさえも、正確に把握しているわけではありません。大方、ランサムウェアグループのアフィリエイトは、ダークネット上のフォーラムやテレグラム上の非公開チャットを通じて、募集されているのだと思います。応募者は、募集スレッドに対して、自身の連絡先を記載した上で返信します。やり取りには、JabberやToxといった暗号化された通信プロトコルが使われます。ランサムウェアグループとのやり取りの中で、応募者は過去の実績を紹介したり、テスト問題を受けるかもしれません。重要なことは、応募者がこれらの過程で結果を残せるか否かという点です。結果を残すことができれば、応募者は次のステップへ進むことができ、新しいプロジェクトに参加できるのだと理解しています。
問6.アフィリエイトプログラムは、ランサムウェア市場をどのように変化させたとお考えですか。
―――データの暗号化と比べるとネットワーク侵入の方が難いため、同じアフィリエイトプログラムのパートナーであっても、暗号者と比べてハッカーを見つけることの方が困難です。そのため、現在、多くのグループは、パートナーとなるハッカーを探すべく、フォーラムを活用するなど、公の場に出るようになりました。パートナーがいなくては全く活動できなくなるため、ランサムウェアグループにとって、アフィリエイトプログラムは非常に重要です。
アフィリエイトプログラムは、ランサムウェアグループの組織構造の観点から市場を変化させたと考えます。グループの中には、ランサムウェア自体の開発や戦略を担当する者もいれば、ネットワーク侵入を担当する者やデータの暗号化を担当する者もいます。
政府機関や大企業を対象にした攻撃の際には、選別されたパートナーが重要な役割を担います。 攻撃プロセスは、ランサムウェアグループの全てのメンバーにとってリスクがあるものですが、多くの責任を負うのは、データの暗号化を担当する者だと考えています。
問7.主要なランサムウェアグループ間の関係はどのようなものでしょうか。REvilへのインタビューにおいて、REvilメンバーは、ランサムグループ間で張り合う必要はないと言及していましたが、その考えに賛同しますか。互いに連携したり、張り合ったり、もしくは無視するものでしょうか。
―――それぞれのグループは利益を最大化することに関心を持っており、表立って対立することはありません。しかし、技術的な手段等に関しては、競合していると思います。
以前、ダークネット上のフォーラム上で、REvilとMazeが対立しているという情報が出ましたが、自分がREvilメンバーに連絡したところ、この情報はフェイクということが確認されました。 また、他のグループと協力した方が大きな利益が見込まれる場合には、互いに協力することもあります。
問8.ランサムウェアグループが、他のAPTグループや政府系のハッカーと連携した事例を見たことがありますか。将来、そのような連携は考えられますか。
―――ランサムウェアグループが、政府系のハッカーと協力することは考えにくいと思います。政府系のハッカーがスパイ行為を目的にしているのに対して、ランサムウェアグループは金銭を目的にしています。
さらに、ランサムウェアグループは、比較的容易な手法を用いると認識されており、一般的な評判は芳しくありません。そのため、ランサムウェアグループと協力していることが明るみになった場合、政府系ハッカーの評判に傷が付く可能性があります。政府系ハッカーが、このようなリスクを冒すとは考えにくいです。 ランサムウェアグループを調査している主な主体はサイバーセキュリティ企業であり、警察などの組織ではありません。REvilについて言えば、ロシア語を使用することで知られていますが、実際にメンバーがロシア人とは断定できず、その他のロシア語圏(欧州やCIS諸国)の国民である可能性も否定できません。
問9.ランサムウェアグループは、最新の脆弱性、エクスプロイト、その他の攻撃方法に関して、最新の情報をどのようにして収集しているのでしょうか。ランサムウェアグループは、どれほどの頻度で、ダークウェブ上の販売者と連携していますか。
―――(詳細な情報は持ち合わせていないとしつつ、)ランサムウェアグループが、非公開チャット等を使って、互いに連携している可能性があります。内部の通信インフラは、独自に構築されたものを使っているのだと思います。 フォーラムやダークネット上でも、脆弱性やエクスプロイトに関する情報収集がなされていると思いますが、高度に保護された通信プロトコルが使われていること等から、その詳細を把握するのは極めて困難です。
問10.ランサムウェアグループが特定の攻撃方法を好むという事例を知っていますか。また、彼らは、攻撃対象の立地や産業について、好みがあるのでしょうか。
――― ランサムウェアグループが好む特定の立地や産業はないと思います。比較的狙われやすい対象として、サイバーセキュリティに十分な注意を払っていない企業やパッチを適用しない企業が挙げられます。それらの企業に対しては、マススキャニングやソーシャルエンジニアリングといった攻撃手法が使われる傾向があります。さらに既に知られている脆弱性やエクスプロイトが使用されることも多いです。 しかし、中には高度な攻撃手法が取られる場合もあるため、どんな主体であっても攻撃対象になり得ると考えます。
問11.ロシア語話者のハッカーにとって、日本は主要な標的の1つでしょうか。米国や欧州と比較して、日本はロシア語話者のハッカーの標的になりやすいでしょうか。その理由は何でしょうか。
―――ロシア語話者のランサムウェアグループにとって、主な標的は欧米であり、日本は優先順位の高い攻撃対象ではないと考えます。その最大の理由として、言語の壁が挙げられ、たとえ翻訳したとしても正確性に欠けるという難しさがあります。そのため、日本がランサムウェア攻撃の主な標的になる可能性は低いと考えます。
一方で、将来的に、ランサムウェアグループが、日本語話者の攻撃者(adverts)を探し出した上で、日本の組織にランサムウェア攻撃を仕掛けるという可能性は否定できません。 また、ビットコインの高騰に関連して、ランサムウェアグループが、日本に目を向けるようになるかもしれません。
問12.ユーチューバーとしての活動はいつから始めましたか。
―――ユーチューバーとして積極的に活動するようになったのは、約1年前からです。サイバーセキュリティ分野には、7年ほど前から関心を持っていました。
問13.テキストをやり取りした相手がランサムグループのメンバーだとどのように裏付けしましたか。
―――相手がREvilメンバーだったという100%の確証はありません。自分の質問に回答したのは、ハッキングフォーラム上で100万米ドルのデポジットを所有していた人物です。ダークネット上では、デポジットを他のアカウントに移すことはできないため、デポジットを支払ったのは保有者本人といえます。この人物はフォーラム上で自身のことをREvilメンバーと称しています。加えて、この人物は、フォーラム上でREvilのアフィリエイトを募集する投稿をしており、またREvilに関する質問にも回答していました。これらのことから、やり取りをした相手がREvilメンバーではないと疑う特段の理由はありませんでした。
問14.ランサムグループはなぜインタビューに応じたと思いますか。
―――まず、自分がテキスト形式でのインタビューを提案したことが要因として挙げられます。また、自分が特定の組織とつながっておらず、中立的な立場で活動していることも要因だったと考えます。自分の目的は、サイバー犯罪市場について明らかにするということでした。
問15.インタビューをしてみて印象的だったことは何でしょうか。
―――一番印象的だったことは、午前0時にパソコン画面を見たところ、先方からインタビューに応じる旨の回答があったことです。自分はこれまでランサムウェアに注力して活動してきたわけではないので、全ての回答が目新しかったです。自分でも、実際に回答を得られるとは予想していませんでした。
問16.先日、米国司法省がWannacry攻撃を使っていた疑いのある北朝鮮のハッカーを起訴しました。日本にサイバー攻撃を仕掛ける可能性のある国として、北朝鮮、ロシア、中国等が挙げられます。各国の攻撃には、目的やレベルの観点から、どのような違いがあると考えますか。
―――(詳細な情報は持ち合わせていないとしつつ、)グローバル化によって、普遍的な手段が使用できるようになった点が指摘できます。オープンソースを使っても、様々な攻撃手段を入手することが可能になりました。ハッカーらは、入手した攻撃手段を自身の目的に沿うように改良して使用しています。
Wannacryについては、REvilメンバーとのインタビューで収益性の低さが指摘されましたが、マスコミを通じて反響を呼ぶことができ、また企業の反応を確認できるという側面もあると考えます。
また、アジアのハッカーグループについて言えば、概して高い技術を持っていると思います。攻撃のレベル等を含めて、多くのことは、攻撃の目的によって左右されると思います。
問17.日本では、二重脅迫型ランサムウェアを含めて、ランサムウェアに対する懸念が高まっています。日本のセキュリティーを高めるための提言があれば教えて下さい。
―――効果てきめんな対策法はありません。しかし、欧米に目を向けて、ランサムウェアに対してどのような対応がなされているかを注視することに意味があると思います。
また、万一攻撃を受けた時には、情報を公開することが重要です。ロシアでは、攻撃を受けた際に、企業や人々が公にしたがらないという傾向がありますが、情報を公開することは極めて重要です。企業が公開する情報量が多いほど、ランサムウェアグループにとっては、情報を公表するという圧力をかけにくくなります。 さらに、企業が情報を公開することで、治安機関の目が向けられることになります。ランサムウェアグループは、秘密裏に攻撃を行うことを好む傾向があるため、治安機関が注意を払えば払うほど、当該企業や当該地域に攻撃を仕掛けにくくなると言えます。
この記事をシェア |
---|