2022年2月末に始まったロシアによるウクライナ侵攻は、世界に大きな混乱を引き起こしている。サイバー空間、そしてランサムウエア攻撃グループの周辺も例外ではない。
ロシアによるウクライナ侵攻が始まって間もない2022年2月26日午前1時20分(日本時間)ごろ、ランサムウエア攻撃グループの中でも1、2を争う勢力を持つ「Conti▼」が、自身のダークウェブ▼で声明を掲載した。
Contiの声明には「ロシア政府を全面的に支持する。もし誰かがロシアに対してサイバー攻撃や戦争行為をしようとした場合、我々は可能な限りのリソースを使って敵の重要インフラへ反撃する」と記載されていた。
しかし、掲載から約3時間後には一転して「我々はいかなる政府とも手を結んでおらず、現在行われている戦争を非難する」などと主張する内容に書き換えられた。ロシアを支持する強気の文言が削除され、トーンを落とした表現に変更された。だが最初の声明のインパクトは大きく、ゴタゴタを引き起こすきっかけとなった。
声明が引き金で内部データ流出
Contiの声明が掲載されてから数日後、何者かがContiの内部データをSNS▼上で暴露した。「ContiLeaks▼」と名乗る人物で、ウクライナを支持すると主張している。
筆者は暴露された内部データを細かく分析した。今回は、そこから分かったContiランサム攻撃グループの組織構造や内情を解説する。
暴露されたデータには、Contiが使用し管理していた各種マルウエアに関連するファイルや、内部システムに関わるスクリーンショット、組織内で交わされたチャットのログが多数含まれていた(図1)。
さらにTrickbotLeaksと名乗る別のアカウントもSNSに出現した。真偽は不明だが、Trickbotメンバーの個人情報▼やチャットログを暴露した。中には、セキュリティー企業の研究開発部門に勤務する表の顔を持つ人物も入っていた。
Contiは最近、Trickbotのグループを吸収した。つまり、実質的にTrickbotのメンバーはContiの傘下にある。TrickbotLeaksによる暴露も、Contiの声明が引き金となった可能性が高い。
ContiLeaksが暴露したデータの中には、Contiランサムウエアのソースコード▼とみられるファイルも含まれていた。筆者が2021年に行った解析の結果▼と比較すると、処理が全体的に一致していた(図2)。
このため、本物のソースコードとみて間違いない。今回の暴露はContiにとって想定外だった可能性が高い。
