2021年5月7日、米石油パイプライン最大手のColonial Pipeline(コロニアル・パイプライン)はランサムウエア(身代金要求型ウイルス)を用いたサイバー攻撃を受け、全ての操業を停止した。停止は約6日間に及び、米国の複数の州で緊急事態宣言が出された。操業停止3日後の5月10日、米連邦捜査局(FBI)はロシアの犯罪集団「DarkSide(ダークサイド)」の犯行と断定した。
ダークサイドは2020年8月に初めてその存在が確認されたサイバー攻撃グループで、ランサムウエアを用いた「暴露型」と呼ばれる攻撃を仕掛ける。期限までに身代金を支払わないと、盗んだデータを暴露サイトに公開すると脅すというものだ。
暴露サイトは各攻撃グループがそれぞれ個別に持っている。例えば「Ragnar Locker(ラグナロッカー)」を名乗る攻撃グループは2020年11月にゲーム大手のカプコンから盗んだとする情報を自身の暴露サイトに公開した。
トレンドマイクロの調査によると、ダークサイドが2021年5月14日に活動停止を「表明」するまでに暴露サイト上でデータをリークされた組織は99社に上る。被害を受けた業種はITや金融、製造などで、企業が属する国は米国やドイツ、スペイン、ブラジル、日本、オーストラリアなど多岐にわたる。
「暴露型ランサムウエア攻撃による被害は2019年末から急増している」とトレンドマイクロの岡本勝之セキュリティエバンジェリストは指摘する。暴露サイトに投稿されたと同社が確認した組織は、2019年11月には1社だったが、同年12月には21社に増え、2020年9月には256社にまで増えた。日本関連の組織も2021年5月15日までに41社に上った。
高度化するランサムウエア攻撃、4つの特徴
ダークサイドに代表される近年のランサムウエア攻撃者の特徴は主に4つある。
第1は、ばらまき型ではなく標的型であること。攻撃者は対象組織を絞り、不正アクセスなどで侵入する。アカウントを集中管理するドメインコントローラーを狙ってハッキングを仕掛けるケースが多い。侵入後はデータを盗み、パソコンやサーバーのデータを暗号化するためにランサムウエアを放つ。
データを盗むのは、暴露すると脅すためだけではない。「ダークサイドに限らず、攻撃グループは被害組織から盗み取った財務記録やサイバー保険の契約状況から攻撃する企業の支払い能力を推量し、要求金額を決めているケースもある」。三井物産セキュアディレクション(MBSD)の吉川孝志・上級マルウェア解析技術者は最近の傾向をこう明かす。
ダークサイドは医療や教育、非営利組織(NPO)、政府組織などには攻撃しないことを掲げていたが「ダークサイド以外のランサムウエア攻撃では学校や医療機関が標的となったケースがしばしば確認されており、信頼できるものではない」(吉川氏)。
第2の特徴は、多重に脅迫してくる点だ。前述の通り、ファイルを暗号化し「復号する代わりに身代金を支払え」と要求し、拒めば盗んだデータを暴露サイトに流出させると2重に脅す。2重脅迫にとどまらず、身代金を支払うまでDDoS攻撃(分散型のサービス拒否攻撃)を仕掛けたり、電話やメールで脅したりと、3重、4重の脅迫をしてくる傾向がある。
