コンティ、崩れた一枚岩 進化するサイバー攻撃に備えを
サイバーカオス 解明コンティ・識者に聞く①
https://www.nikkei.com/article/DGXZQOUC16CAU0W2A510C2000000/
※ 『「ウクライナ人、または同国に親和的な内部メンバーが一定以上おり、反発の強さは幹部陣にも想定外だったとみられる。それでも反発はやまず、大規模な漏洩につながった」』…。
※ ということで、図らずもウクライナ事態が、内部亀裂を呼び、今回のデータ漏洩につながった…、という話しだ…。
※ 『「過去には攻撃ソフトを第三者に提供する『ランサムウエア・アズ・ア・サービス(RaaS)』の協力者が報酬に反発し、攻撃マニュアルを漏洩したこともあった。組織の大規模化や多国籍化に伴い、こうした内部分裂によるリークが増えることも予測される」』…。
※ 『ランサムウエア・アズ・ア・サービス(RaaS)』とか、イヤハヤ…な話しだ…。
※ ただ、そうなってくると、「報酬」の決め方で揉めることになる…。「金融」関係、「組織管理」関係の「貢献」は、「定量」的には決められないからな…。
※ これが、初期の「技術者集団」だったら、それこそ「書いたコードの行数」とかで、決まったりしてたんだろう…。
※ 基本、「ジョブ型」で行くとして、最後にはどうしても、「定性的な評価」の問題が残ってしまう…。
※ 日本企業が「苦しんでいる」のと、同じ構図だな…。
『日本経済新聞は世界最大級のサイバー攻撃集団「Conti(コンティ)」の漏洩データから知られざる活動実態を分析した。ランサムウエア(身代金要求型ウイルス)で得た巨額の収益を元に、多様な人材を採用し組織を拡大し、各国の端末の脆弱性を標的としていることがわかった。ロシア政府とのつながりも垣間見えた。データから読み取れる活動や脅威について識者に聞いた。
初回は三井物産セキュアディレクション(東京・中央)の吉川孝志上級マルウェア解析技術者に、コンティの漏洩データの分析を聞いた。
――コンティからチャット履歴などが漏洩したのはなぜですか。
「コンティ幹部が内部の結束力を見誤ったのが原因だ。ウクライナ侵攻でコンティがロシアを支持する声明を出したが、当初は『ロシア政府を全面的に支持する』と強いメッセージだった。だが、『我々はいかなる政府とも手を結んでいない』とすぐに書き換えられた」
三井物産セキュアディレクションの吉川孝志上級マルウェア解析技術者
「ウクライナ人、または同国に親和的な内部メンバーが一定以上おり、反発の強さは幹部陣にも想定外だったとみられる。それでも反発はやまず、大規模な漏洩につながった」
――チャットから何を読み解けますか。
「組織図や攻撃計画、各メンバーの情報に加え、休日申請が認められたと喜び合う投稿など一般企業さながらのコミュニケーションも見て取れる。参加メンバー同士の意見が衝突して『部署』の異動を求めたり、下位メンバーが上司の不満を漏らしたりと、コンティが必ずしも一枚岩ではないことも分かった。膨張した半面、幹部陣が組織全体を制御しきれていない実態も浮き彫りになった」
――コンティの活動は今後どうなりますか。
「チャットの漏洩直後にはメンバー同士で混乱し、疑心暗鬼になっている会話もみられた。マルウエアのソースコード(設計図)が流出したのが大きい。攻撃グループにとって最も貴重な機密の一つであるためだ」
「別の大手集団がコンティの人材を雇う動きもあった。その後は淡々と新たな被害組織への声明を更新し続けている。高度に組織化された攻撃集団のしぶとさを示している」
――今回の漏洩はサイバー脅威情勢にどう影響しますか。
「過去には攻撃ソフトを第三者に提供する『ランサムウエア・アズ・ア・サービス(RaaS)』の協力者が報酬に反発し、攻撃マニュアルを漏洩したこともあった。組織の大規模化や多国籍化に伴い、こうした内部分裂によるリークが増えることも予測される」
「ただ大手のランサム集団が停止しても、後継の集団や一部メンバーによる新たな集団が生まれるのが常だ。研究と分析を続け、進化し続ける攻撃手法への備えが求められる」
(聞き手はサイバーセキュリティーエディター 岩沢明信)
吉川孝志(よしかわ・たかし) マルウエアの検知技術に関する米国および国内の特許を複数発明。サイバー犯罪の摘発や被害の未然予防など警察機関への協力も行っている。主にマルウエアに関する解析や情報発信を中心に活動
【サイバーカオス 解明コンティ関連記事】
・世界最大級サイバー攻撃集団 「身代金」で100億円奪取
・まるで会社、渉外・調査部も 仮想組織でサイバー攻撃
・報酬月2000ドル・週休2日…サイバー攻撃人材の獲得実態
・ランサムウエア標的、日本2万台 脆弱性対応世界に後れ
・サイバー攻撃の「パナマ文書」、ロシア政府との関係示唆 』