分業化が進んでいたランサムウエア攻撃に新たな動きが出てきた。標的とした企業・組織の従業員を実行犯に仕立てるというのだ。
従来の分業体制では、攻撃に必要なランサムウエアなどは、攻撃者グループが運営するクラウドサービス「RaaS▼」が用意(図1)。企業や組織に侵入してランサムウエアをまいたりデータを盗んだりするのは、RaaSの利用者である「アフィリエイト」が担当する。被害者から得た身代金の10%から30%をRaaSが取り、残りはアフィリエイトに渡す。
だが、この分業体制が崩れつつあるという。標的とした企業・組織の従業員をアフィリエイトの代わりにしようとする動きが出てきたからだ。2021年8月、セキュリティー企業などが相次いで報告した。待遇に不満を持つ従業員をそそのかして、ランサムウエア攻撃の実行犯に仕立てるという。
メールで実行犯を募集
セキュリティー企業の米アブノーマルセキュリティーは、顧客の企業から怪しいメールの相談を受けた。従業員に対して、ランサムウエア攻撃の実行犯になるよう促すメールだった(図2)。
メールを受信した従業員が企業のコンピューターにDamonwareというランサムウエアをインストールできる場合、身代金の40%に当たる100万ドルをビットコインで支払うとしている。
メールには連絡先としてフリーメールのメールアドレスとインスタントメッセージTelegramのIDも記載されている。
そこでアブノーマルセキュリティーの研究者は、従業員のふりをしてメッセージのやりとりを開始した。
研究者がランサムウエアの受け渡し方法について尋ねると、相手は2種類のファイル共有サイトにファイルをアップロード。ダウンロードして調べると本当にランサムウエアだったという。
やりとりを続ける中で、こちらのメールアドレスをどうやって取得したのかを尋ねたところ、ビジネスSNSであるLinkedInで調べたと答えた。アブノーマルセキュリティーによれば、標的とする従業員の連絡先を調べるのにLinkedInを使うのは一般的だという。
その後相手が怪しんだために、やりとりは終了したようだ。
