米石油パイプライン最大手のコロニアル・パイプラインは2021年5月7日(米国時間。以下同)、サイバー攻撃によりすべての業務が停止したと発表。米連邦捜査局(FBI▼)は5月10日、「Darkside(ダークサイド)」が原因だと発表した▼(図1)。
全米を震え上がらせたダークサイド。その正体は一体何なのか。
攻撃者集団の名前だけではない
報道では「サイバー犯罪集団」や「ハッカー集団」の名称として伝えられているダークサイドだが、実際には3つの意味がある。その1つが、サイバー攻撃に使われるランサムウエア▼の名称だ。
セキュリティー企業の米インテル471などによると、ダークサイドは2020年8月に初めて確認されたという。比較的新しいランサムウエアだ。オーストリアのエムシソフトなどによると、ダークサイドは身代金として20万ドルから200万ドルを暗号資産(仮想通貨)で要求するという。
またダークサイドは、ダークサイドランサムウエアを使った攻撃を支援する商用のクラウドサービスを指す場合もある。ランサムウエア攻撃のクラウドサービスなのでRaaS▼と呼ばれる。
米ファイア・アイなどによれば、RaaSとしてのダークサイドは2020年11月、ロシア語のアンダーグラウンドフォーラム「exploit.in」や「XSS」で初めて宣伝されたという。
RaaSを使用するのはもちろんサイバー攻撃者だ。ある企業ネットワークへの侵入方法を知った攻撃者が、ランサムウエア攻撃を仕掛けたいと考えたとする。しかし自分でランサムウエアを調達したり、脅迫したりするのはハードルが高い。そういった場合、RaaSを利用して該当企業にランサムウエア攻撃を仕掛ける。
RaaSを利用する攻撃者はアフィリエイトなどと呼ばれる。セキュリティー企業各社の情報によると、ダークサイドの取り分は身代金の10%から25%。ファイア・アイが確認した広告によると、身代金が50万ドル未満の場合は25%、500万ドルを超える身代金に対しては10%だ。
ファイア・アイによれば、アフィリエイトになるには「面接」に合格する必要があるという。面接がどういったものなのかについては言及していない。合格すると、RaaSの管理パネルへのアクセス権が提供される。
3番目の意味が、ダークサイドRaaSを運営する攻撃者グループである。多くの報道では、この意味で使っている。
これらを区別するために、組織や企業によってはダークサイドランサムウエア、ダークサイドRaaS、ダークサイド攻撃者グループなどと表記して区別している。例えばFBIは声明で「ダークサイドランサムウエア」と表記している。
