相次ぐランサムウエア攻撃。被害に遭うと業務データを暗号化されるとともに、業務データをダークウェブ▼などで公開される恐れがある。
攻撃者の目的は金銭だ。攻撃したことを相手に知らせて脅迫。暗号化された業務データを復元したければ、また業務データを公開されたくなければ身代金を支払うよう求める。
だが、金銭目的ではないと思われるランサムウエア攻撃が確認された。攻撃者は、企業の知的財産や機密情報を狙うサイバースパイとみられる。
秘密裏に行動するはずのサイバースパイが、なぜ攻撃したことを知らせるランサムウエアを使うのか。その謎に迫る。
別のサイバースパイと手口が類似
セキュリティー企業の米セキュアワークスは2022年6月下旬、ランサムウエアを使うサイバースパイを報告した。このサイバースパイは「ブロンズスターライト(Bronze Starlight)」と名付けられた。
ランサムウエアを使うブロンズスターライトを、なぜサイバースパイと見抜いたのか。それは、別のサイバースパイ「ブロンズリバーサイド(Bronze Riverside)」と手口が似ているからだ(表1)。
ブロンズリバーサイドは、中国政府が支援しているとされるサイバースパイ。主に日本企業の知的財産を狙ってサイバー攻撃を仕掛けている。
ブロンズスターライトとブロンズリバーサイドの共通点の1つが「HUI Loader」と呼ばれるマルウエア(悪質なプログラム)を使うこと。HUI ローダーは正規のプログラムによりDLL▼として呼び出されて動き出す(図1)。そしてインターネットから暗号化された別のマルウエアをダウンロード▼および復号して実行する。暗号化されているのは、ダウンロード時にゲートウエイのセキュリティー製品などに検知されないようにするためだ。
セキュアワークスによると、HUI ローダーを使うのは中国政府が支援するサイバースパイに限られるという。
