「2021年は下半期もランサムウエア(身代金要求型ウイルス)犯行グループの活動が続く可能性が高い。国内企業は注意が必要だ」。こう警鐘を鳴らすのは、NTTデータの技術革新統括本部セキュリティ技術部情報セキュリティ推進室NTTDATA-CERTに所属する新井悠Executive Security Analystである。新井氏はサイバーセキュリティー分野で20年近い経験を持ち、マルウエアを解析したりアンダーグラウンドの掲示板を観測したりするなどして、サイバー脅威を分析している。
ランサムウエアとは、パソコン上のファイルを暗号化し、その復号のための「身代金」を要求するマルウエアである。15年ほど前に登場し、その後も攻撃者は身代金に暗号資産(仮想通貨)を使うようになったり、マルウエアをつくる人と「アフィリエイト」と呼ぶばらまく人を分業したり、盗んだ情報を「暴露サイト」に掲載してその削除料をゆする「二重脅迫」を仕掛けてくるようになったりと、手口を今も絶えず変えている。
新井氏によると、ランサムウエア犯行が増える理由にはあの「ボットネット」が関係するという。まずは、ランサムウエア攻撃による直近の被害を振り返る。
石油パイプラインや食肉工場がランサムウエア攻撃で停止
2021年上半期には大きなランサムウエア攻撃の被害があった。米国の東海岸で消費されるガソリンやディーゼル燃料、ジェット燃料などの45%を供給するインフラを持つ、米石油パイプライン最大手のColonial Pipeline(コロニアル・パイプライン)がランサムウエア攻撃を受け、全ての操業を停止したという5月上旬の事案だ。
停止は約6日間に及んだ。同社のCEO(最高経営責任者)は停止が数週間、数カ月に及ぶリスクを考慮して440万ドル(約4億8000万円)相当のビットコインを犯行グループに支払った(その後米連邦捜査局=FBIが支払いに使われたビットコインのうち約230万ドル相当を差し押さえた)。
5月下旬には、ブラジルの食肉大手JBS傘下のJBS USAがランサムウエア攻撃を受け、米国とカナダ、オーストラリアにある食肉処理場のシステムの停止を余儀なくされた。同社は1100万ドル(約12億円)相当の身代金を支払った。身代金はビットコインで支払ったとみられる。
国内でも2021年上半期には、総務省や自治体から業務を委託しているランドブレイン、富士フイルム、日本空港給油などがランサムウエア攻撃の被害に遭った。新井氏によればランサムウエア犯行グループは2019年前後から狙いの軸足を個人から企業へと移し、離散集合を繰り返しつつ常時20前後が活動しているという。
コロニアル・パイプラインの攻撃を境に、2021年5~6月、ランサムウエア犯行グループは一旦鳴りを潜めた。同社を攻撃したとFBIが断定した、ロシア語圏で活動するとみられるランサムウエア犯行グループの「DarkSide(ダークサイド)」は活動を停止するとアンダーグラウンドの掲示板に書き込んだ。
それ以外にも「複数のアンダーグラウンド掲示板の運営元がランサムウエア関連の書き込みを禁止したり、過去の書き込みを削除したりするなどして締め出した」(新井氏)。さらに幾つかのランサムウエア犯行グループは自らが運営する暴露サイト上で、ランサムウエアの悪用の中止や、社会セクター(医療、教育機関、重要インフラ)は攻撃しないといった声明を発表したという。
背景には、ランサムウエア犯行グループの活動を抑止するため、米国が政治的な解決手法、法律的な解決手法に乗り出していることが関係しているようだ。例えば米財務省外国資産管理局(OFAC)は2020年10月、テロ指定されているようなグループに所属するサイバー犯罪者に身代金を支払えば企業が法的責任に問われると警告した。払う側の行動を抑止したわけだ。
身代金に仮想通貨が使われている現状を踏まえ、2021年5月の米政府予算案では外国人が暗号資産取引所に口座を持っている場合、口座残高を報告するように提案した。現金化する場所を規制する方向に動いた格好だ。
また2021年6月の米ロ首脳会談ではランサムウエアに関する協議が持たれ、米国側はサイバー攻撃の対象外として16の重要インフラを提示したという。両国で専門家会合を設置することも決まった。
米国でもロシアでももちろん日本でも、マルウエアを作成すれば刑法の罪に問われる。ランサムウエア犯行グループの目的は金銭であり、長く「稼ぐ」ためにも政府に目を付けられたり、捜査の手が伸びてきたりする事態は極力回避したい――。DarkSideが解散したのは、社会的混乱を引き起こし「目立ち過ぎた」からとも言えるだろう。
| 国 | 内容 |
|---|---|
| 日本 | 2011年の刑法改正に伴って設けられたウイルス作成罪によりコンピューターウイルスを「作成」したり「提供」したりした場合、3年以下の懲役または50万円以下の罰金 |
| 米国 | 刑法1030条により罰金もしくは10年以下の拘禁、またはそれらの併科で罰し得る。被告人が同条の前科を持つ場合は、罰金もしくは20年以下の拘禁またはそれらの併科 |
| ロシア | 刑法273条により、3年以下の自由刑および20万ルーブル以下もしくは給与その他の収入の18カ月以下に相当する額の罰金刑 |
「これで犯行グループが減るかなと思ったらそうでもなかった」(新井氏)。6月中旬以降、新たなランサムウエア犯行グループが次々と現れ、暴露サイトを使った二重脅迫も続いているという。ただ新井氏が冒頭の予想を立てたのはこれだけが理由ではない。ボットネットが関係するという。どういうことか。
