全1729文字
PR

 相次ぐランサムウエア攻撃。被害に遭うと業務データを暗号化されるとともに、業務データをダークウェブなどで公開される恐れがある。

 攻撃者の目的は金銭。攻撃したことを相手に知らせて脅迫。暗号化された業務データの復元したければ、また業務データを公開されたくなければ身代金を支払うよう求める。

 だが、金銭目的ではないと思われるランサムウエア攻撃が確認された。攻撃者は、企業の知的財産や機密情報を狙うサイバースパイとみられる。

 秘密裏に行動するはずのサイバースパイが、なぜ攻撃したことを知らせるランサムウエアを使うのか。その謎に迫る。

別のサイバースパイと手口が類似

 セキュリティー企業の米Secureworks(セキュアワークス)は2022年6月下旬、ランサムウエアを使うサイバースパイを報告した。このサイバースパイは「ブロンズスターライト(Bronze Starlight)」と名付けられた。

 ランサムウエアを使うブロンズスターライトを、なぜサイバースパイと見抜いたのか。それは、別のサイバースパイ「ブロンズリバーサイド(Bronze Riverside)」と手口が似ているからだ。

サイバースパイ「ブロンズスターライト」と「ブロンズリバーサイド」の比較
サイバースパイ「ブロンズスターライト」と「ブロンズリバーサイド」の比較
(出所:米Secureworks)
[画像のクリックで拡大表示]

 ブロンズリバーサイドは、中国政府が支援しているとされるサイバースパイ。主に日本企業の知的財産を狙ってサイバー攻撃を仕掛けている。

 ブロンズスターライトとブロンズリバーサイドの共通点の1つが「HUI Loader(HUIローダー)」と呼ばれるマルウエア(悪質なプログラム)を使うこと。HUIローダーは正規のプログラムにより呼び出され、暗号化された別のマルウエアをダウンロードおよび復号して実行する。

「HUIローダー」の流れ
「HUIローダー」の流れ
(出所:Japan Security Analyst Conference 2022 発表資料「カオス化するA41APTキャンペーンに対して私達ができること」)
[画像のクリックで拡大表示]

 セキュアワークスによると、HUIローダーを使うのは中国政府が支援するサイバースパイに限られるという。

ランサムウエアを使い捨てる

 他にも証拠はある。一般的なランサムウエア攻撃者とは異なり、ランサムウエアを使い捨てているのだ。

 前述のようにランサムウエア攻撃者の目的は金銭である。このためコストをかけて開発したランサムウエアは、できるだけ長期にわたり使い続けて収益を最大化する。一方で、長期間活動しているランサムウエアは大きな被害をもたらすことになるので、多くの研究者により解析されて攻撃者の狙いや正体がばれやすくなる。