2019年度末に「Maze」というランサムウエアの攻撃グループが「二重脅迫」と呼ばれる手口を編み出した。攻撃した組織に対して「暗号化したファイルの復号と引き換えに、身代金を要求する」という従来の脅迫に加えて、「身代金の支払いを拒めば、盗んだ情報を公開する」と脅す手口だ。
それ以降、ランサムウエアを用いる攻撃グループの多くが同じ手口を採用。二重脅迫による被害は2020年、2021年に爆発的な勢いで広がった。直近では徳島県の病院が脅迫を受けるなど、国内での被害も増えている。こうした二重脅迫の手口は「暴露型ランサムウエア攻撃」と呼ばれ、広く知られるようになった。
暴露型ランサムウエア攻撃グループが攻撃声明を公表したり、交渉が決裂したときにデータを公開したりするのに用いるのが「リークサイト」と呼ばれるWebサイトだ。その多くが、通常のWebブラウザーではアクセスできないダークウェブ▼に存在する。筆者は、リークサイトを運営する暴露型ランサムウエアの攻撃グループが、2022年1月中旬時点で40組織ほど存在するのを確認している。ランサムウエアを使わない攻撃グループ▼のWebサイトも含めると、リークサイトの総数は70以上に上る。
誰もが「ひとごと」ではない
こうした攻撃グループのリークサイトでは、新たな被害組織の名前が連日のように追加されている。今や、自分の所属組織や取引先などの関連組織がいつ被害に遭うか分からない。リークサイトの情報をリアルタイムに把握できれば、万が一のときに素早く対応できる可能性が高まる。
リークサイトの情報を提供するサービス事業者もあるが、筆者が見る限りではリアルタイム性に欠けていたり必要な情報が漏れていたりする。また外部のサービスを利用する場合は、情報提供が突然停止する恐れもある。
筆者は、リークサイトが増え始めた時期から、リークサイトの自動監視ツールを自前で開発・運用している。70以上のリークサイトを巡回して、新たなリークがあるとリアルタイムに通知する仕組みだ。インテリジェンスを扱う大手事業者などからよりも早く情報が得られるケースが少なくない。
リークサイトは仕様が突然変更されたり、クローリング対策が施されたりする。外部に監視システムの開発を委託すると、こうした日々の変化に追随するのが難しい。システムを素早く修正できるのは自前で開発する大きなメリットだ。そこで今回は、筆者が作成した監視ツールの基本的な仕組み▼を解説する。なお本記事は、あくまでも自分の所属組織などを守るためのヒントとして活用してほしい。興味本位でリークサイトにはアクセスしないでいただきたい。
