大手企業を次々にランサムウェアで攻撃し、多額の身代金を要求していた集団が、相次いでインターネットから姿を消した。何が起きたのかは不明だが、政府機関が動いたとの説や、「出口詐欺」説なども飛び交う。この影響で被害企業が苦境に陥り、裏社会ではサイバー犯罪集団同士が契約違反で争う裁判沙汰に発展しているらしい。

 報道によると、ランサムウェア集団「REvil」(別名Sodinokibi)が身代金の交渉や盗んだ情報の暴露に利用していたWebサイトが、7月13日未明(米国時間)、突如としてつながらなくなり、同集団が使っていたDNSなどのインフラもダウンした。ロシア語のハッキングフォーラムでも、REvilのアカウントが停止されているという。

 REvilは米独立記念日の連休を控えた7月2日、米KaseyaのIT管理ソフトウェア「VSA」を狙って攻撃を仕掛け、VSAを使っていたマネージドサービスプロバイダー(MSP)やその顧客が被害に遭った。この攻撃にはVSAのゼロデイの脆弱性が悪用されていた。REvilはロシアを拠点とする集団で、米食肉大手JBSに対する攻撃にも関与したと伝えられている。

 REvilが姿を消した理由は不明だが、セキュリティ専門家はロシア政府または米政府の介入があったのではないかと推測する。米国のバイデン大統領は9日、ロシアのプーチン大統領と電話で会談してランサムウェア集団の取り締まりを要求。米国自らがロシアのサイバー犯罪集団のサーバを攻撃する可能性にも言及した。

 セキュリティ企業Mandiantの専門家は、REvilが自ら姿を消したのか、政府が介入したのかは不明だが、いずれにしても計画的にインフラを一斉にダウンさせる措置が講じられたと推測する。

 ZDNetによれば、この影響で、被害に遭って身代金を支払った後に、REvilと連絡が取れなくなり、暗号化されたデータをうまく復旧できず苦境に陥っている企業もあるという。

 ランサムウェアをめぐっては、米大手Colonial Pipelineの石油パイプラインを停止させた「DarkSide」も5月中旬、「ブログ運営や決済処理などに使っていたサーバが差し押さえられ、広告主や創業者の資金が未知のアカウントに移転された」としてサービスの停止を発表した。その理由として、法執行機関の圧力や、米国からの圧力を挙げていたという。

 DarkSideやREvilなどのランサムウェア集団は、アフィリエート(パートナー)と契約を交わして必要なツールやサポートを提供し、攻撃を実行させる「サービスとしてのランサムウェア」(RaaS)ビジネスを展開している。攻撃で得た利益は両者で分配する契約だが、突然の消滅で分配金を受け取れなくなったアフィリエートの間にも混乱が生じているらしい。

 Mandiantによると、DarkSideが閉鎖された後、闇フォーラムでは、DarkSideの未払いを訴えるアフィリエートが続出した。DarkSideの業務停止は、資金を集めて姿をくらます「出口詐欺」だったのではないかとの憶測も浮上している。

 実際、ダークWebに存在する「ハッカー法廷」では、DarkSideがアフィリエート契約に違反したという訴えが多数起こされたとthreatpostは伝えている。「詐欺師が詐欺に遭った場合、あるいはビジネス契約がこじれた場合、たとえハッカーであっても不服を申し立てることができる。泥棒に名誉はなくても『ダークサイド」の行動規範は存在する』(Huntressのセキュリティ研究員ジョン・ハモンド氏)

 6月の時点でDarkSideがサービスを再開する形跡はなく、閉鎖されたDarkSideのRaaSプラットフォームから、REvilのサービスに乗り換えたアフィリエートもあったという。そうしたアフィリエートは、REvilが姿を消してもまた別のランサムウェアやマルウェアに乗り換えながら、サイバー攻撃を続けるだろうと専門家は予想する。

 ランサムウェア集団も、名称を変えるなどしてRaaSビジネスを継続する見通しだ。REvil自体、2019年に廃業を宣言した「GandCrab」という集団のメンバーが関与して立ち上げたランサムウェア集団だった。Mandiantは「今後も数多くの集団が、ランサムウェア稼業を継続するだろう」と予想している。

(鈴木聖子)