「ダークサイド」の正体

「ダークサイド」の正体 3つの意味と4重の脅迫
https://www.nikkei.com/article/DGXZQOUC203IC0Q1A520C2000000/

 ※「4階層」に渡って、4回も脅迫されるのか…。

 ※ 全く、ヤレヤレかつウンザリだ…。

 ※ ただ、こう大規模になると、「国家をあげて」反撃されることになる…。

 ※ 「敵」、及び「反撃」も熾烈なものとなるだろう…。

『米石油パイプライン最大手のコロニアル・パイプラインは5月7日(米国時間)、サイバー攻撃により全ての業務が停止したと発表。米連邦捜査局(FBI)は10日(同)、「DarkSide(ダークサイド)」が原因だと発表した。

全米を震え上がらせたダークサイド。その正体は一体何なのか。

サイバー犯罪集団なのか
報道では「サイバー犯罪集団」や「ハッカー集団」の名称として伝えられているダークサイドだが、実際には3つの意味がある。その1つが、サイバー攻撃に使われる「ランサムウエア」の名称だ。

ランサムウエアはコンピューターに保存されたデータを暗号化して使用不能にするマルウエア(悪意のあるプログラム)。データを暗号化した後、元に戻したければ金銭(身代金)を支払うよう画面に表示する。

セキュリティー企業の米インテル471などによると、ダークサイドは2020年8月に初めて確認された。比較的新しいランサムウエアだ。オーストリアのエムシソフトなどによると、ダークサイドは身代金として20万ドルから200万ドルを暗号資産(仮想通貨)で要求する。

またダークサイドは、ダークサイドランサムウエアを使った攻撃を支援する「商用」のクラウドサービスを指す場合もある。ランサムウエア攻撃のクラウドサービスなので「RaaS(ランサムウエア・アズ・ア・サービス)」と呼ばれる。これが2番目の意味だ。

米ファイア・アイなどによれば、RaaSとしてのダークサイドは20年11月、ロシア語のアンダーグラウンドフォーラム「exploit.in」や「XSS」で初めて宣伝された。

RaaSを使用するのはもちろんサイバー攻撃者だ。ある企業ネットワークへの侵入方法を知った攻撃者が、ランサムウエア攻撃を仕掛けたいと考えたとする。しかし自分でランサムウエアを調達したり、脅迫したりするのはハードルが高い。そういった場合、RaaSを利用して該当企業にランサムウエア攻撃を仕掛ける。

RaaSを利用する攻撃者はアフィリエイトやアフィリエイターなどと呼ばれる。セキュリティー企業各社の情報によると、ダークサイドの取り分は身代金の10%から25%。ファイア・アイが確認した広告によると、身代金が50万ドル未満の場合は25%、500万ドルを超える身代金に対しては10%だ。

ファイア・アイによれば、アフィリエイトになるには「面接」に合格する必要がある。面接がどういったものなのかについては言及していない。合格すると、RaaSの管理パネルへのアクセス権が提供される。

ダークサイドRaaSの管理パネル(出所:ファイア・アイ)
3番目の意味が、ダークサイドRaaSを運営する攻撃者グループだ。多くの報道では、この意味で「ダークサイド」を使っているようだ。

これらを区別するために、ランサムウエアの「ダークサイドランサムウエア」、RaaSの「ダークサイドRaaS」、攻撃者グループの「ダークサイド攻撃者グループ」などと表記する場合がある。例えばFBIは声明の中で「ダークサイドランサムウエア」と表記している。

ちなみに20年11月に活動停止を表明したMAZE(メイズ)も、ランサムウエア、RaaS、攻撃者グループのそれぞれの意味で使われていた。

DDoS攻撃や脅迫電話の機能も
ほかのRaaSと同様に、ダークサイドRaaSも暴露型ランサムウエア攻撃(2重脅迫型ランサムウエア攻撃)に対応している。

まずはデータを盗み出してからランサムウエアで暗号化する。身代金を支払わないと復号ツールを渡さないばかりか、盗んだデータを公表すると脅す。公表の舞台となるのは、匿名性の高い闇サイト群「ダークウェブ」に用意したダークサイド攻撃者グループのウェブサイトだ。

だが、こうした通常のサービスだけではアフィリエイトを引き付けられない。ほかのクラウドサービスと同様に、RaaSも利用者を増やすのが最重要課題だ。そこでダークサイドRaaSは21年3月から4月にかけて機能を拡張した。

トレンドマイクロやインテル471などによれば、身代金の支払いに応じない企業に大量のデータを送りつけるDDoS攻撃の機能を追加した。

さらにコールセンターから脅迫電話をかける機能も実装した。ダークサイドRaaSの管理パネルから、身代金を支払うよう企業に圧力をかける電話を手配できるという。

つまり、4重の脅迫機能を備えるのだ。

「義賊」を気取る謎の寄付
今回の事件で広く知られたダークサイド攻撃者グループだが、20年10月にもメディアに取り上げられている。ランサムウエア攻撃で奪い取った金銭を2つの慈善団体に寄付したのだ。1万ドル相当のビットコインを寄付したとされる。

エムシソフトによるとこの寄付の後、ダークサイド攻撃者グループはウェブサイトに次のような投稿をした。「企業が支払った金銭の一部が慈善団体に寄付されるのは公平だと思う。私たちの仕事がどんなに悪いとしても、私たちが誰かの人生を変える手助けをしたことを知ってうれしく思う」

寄付された団体としてはいい迷惑だったようだ。当時の報道によれば、ある団体は寄付に対する謝辞をSNS(交流サイト)に投稿したが、ダークサイドの正体が分かるとすぐに削除した。

またダークサイド攻撃者グループが出した広告によると、攻撃対象は大企業だけで、医療機関、葬儀に関係する企業・組織、教育機関、公共部門、非営利団体などへは攻撃しないとしている。加えて攻撃対象を潰すことが目的ではないので、詳細に調査したうえで、攻撃対象が支払える額を請求するという。

義賊を気取るこの手口。前述のメイズを思い出した。メイズも新型コロナウイルス禍の医療機関は狙わないと宣言していた。

ダークサイドへの捜査はどうなるのか。今後の展開が注目される中、ダークサイド攻撃者グループは5月13日(米国時間)に活動を停止すると発表した。

それによると、ウェブサイトなどは全て押収されてアクセスできなくなり、資金は不明なアカウントに送信されてしまった。

突然の活動停止もメイズとそっくりだ。だがメイズもダークサイドも自分たちで言っているだけである。名前や体裁を変えて活動を再開する可能性は極めて高い。メイズの場合には既に再開しているとの情報もある。ランサムウエア攻撃に対しては引き続き警戒が必要だ。

(日経クロステック/日経NETWORK 勝村幸博)

[日経クロステック2021年5月19日付の記事を再構成]』