米石油パイプライン最大手のColonial Pipeline(コロニアル・パイプライン)は2021年5月7日(米国時間)、サイバー攻撃により全ての業務が停止したと発表。米連邦捜査局(FBI)は5月10日(同)、「DarkSide(ダークサイド)」が原因だと発表した。
全米を震え上がらせたダークサイド。その正体は一体何なのか。
「ダークサイド」には3つの意味
報道では「サイバー犯罪集団」や「ハッカー集団」の名称として伝えられているダークサイドだが、実際には3つの意味がある。その1つが、サイバー攻撃に使われるランサムウエアの名称だ。
ランサムウエアはコンピューターに保存されたデータを暗号化して使用不能にするマルウエア(コンピューターウイルス)。データを暗号化した後、元に戻したければ金銭(身代金)を支払うよう画面に表示する。
セキュリティー企業の米Intel 471(インテル471)などによると、ダークサイドは2020年8月に初めて確認されたという。比較的新しいランサムウエアだ。オーストリアのEmsisoft(エムシソフト)などによると、ダークサイドは身代金として20万ドルから200万ドルを暗号資産(仮想通貨)で要求するという。
またダークサイドは、ダークサイドランサムウエアを使った攻撃を支援する「商用」のクラウドサービスを指す場合もある。ランサムウエア攻撃のクラウドサービスなのでRaaS(Ransomware as a Service)と呼ばれる。
米FireEye(ファイア・アイ)などによれば、RaaSとしてのダークサイドは2020年11月、ロシア語のアンダーグラウンドフォーラム「exploit.in」や「XSS」で初めて宣伝されたという。
RaaSを使用するのはもちろんサイバー攻撃者だ。ある企業ネットワークへの侵入方法を知った攻撃者が、ランサムウエア攻撃を仕掛けたいと考えたとする。しかし自分でランサムウエアを調達したり、脅迫したりするのはハードルが高い。そういった場合、RaaSを利用して該当企業にランサムウエア攻撃を仕掛ける。
RaaSを利用する攻撃者はアフィリエイトやアフィリエイターなどと呼ばれる。セキュリティー企業各社の情報によると、ダークサイドの取り分は身代金の10%から25%。ファイア・アイが確認した広告によると、身代金が50万ドル未満の場合は25%、500万ドルを超える身代金に対しては10%だという。
ファイア・アイによれば、アフィリエイトになるには「面接」に合格する必要があるという。面接がどういったものなのかについては言及していない。合格すると、RaaSの管理パネルへのアクセス権が提供される。
