ロシアが背景にあるランサムウェア攻撃をテロと同等に扱う米国
ランサムウェアは、サイバー攻撃の主体が攻撃対象に対して身代金(ランサム)を支払うことを要求するのが従来だった。しかしここにきて米国におけるランサムウェアは、国家規模のインフラ企業や、全米の食肉最大手を攻撃するなど、事態のレベルが従来とは異なるものになっている。
最近の米国でランサムウェアの周辺で色々な動きが見られるため、簡単に整理してみたい。
ロシアが背景にあるランサムウェア攻撃をテロと同等に扱う米国
著者:gramマネージャー 今泉 大輔
公開日:2021年6月18日
ランサムウェアをめぐる状況は過去とは違う
ランサムウェアは、サイバー攻撃の主体が攻撃対象に対して身代金(ランサム)を支払うことを要求し、身代金支払いが済めば、停止していたシステムが元どおり動くようになる。日本の中小企業や個人もランサムウェアの小規模な被害にしばしば遭遇している。
しかし最近の米国の事案は、国家規模のエネルギー供給に影響のあるインフラ企業や、全米の食肉供給の数割を占める食肉最大手を攻撃するなど、事態のレベルが従来とは異なるものになっている。米政府当局の調査によれば、国家としてのロシアが背後に存在していることがほぼ確実であるため、戦争の様相が色濃くなっている。過去とは違う領域に入りつつある。従って、国家として予算を付け、人材を投入して打つ対策が、過去とはレベルが違ってきているのだということを理解したい。
身代金のビットコインが再び奪取された
2021年5月7日に、米国最大手のパイプライン会社、コロニアル・パイプラインの基幹システムがランサムウェアと呼ばれる形式のサイバー攻撃を受け、操業停止を余儀なくされた。また、2021年6月1日には米国、カナダ、オーストラリアで営業するブラジル資本の食肉大手JBSの基幹システムが同じくランサムウェアのサイバー攻撃を受け、操業停止に至った。
コロニアル・パイプラインは500万ドル(5億5,000万円)の身代金を支払い、それによって犯行集団が同社のシステムを復旧させて、操業が再開できるようになった。身代金支払いは犯人の要求により、インターネットで送金が容易なビットコインが用いられた。
本稿を執筆している2021年6月8日、米国司法省はコロニアル・パイプラインが得た身代金のビットコインを奪取し、この日のビットコイン相場で2.5億円相当を回収したと発表した。何が起こっているのか?
Reuters: U.S. seizes $2.3 mln in bitcoin paid to Colonial Pipeline hackers
https://www.reuters.com/business/energy/us-announce-recovery-millions-colonial-pipeline-ransomware-attack-2021-06-07/
過去にはこの種の事案では、犯行集団をアイデンティファイすることが積極的に行われていた。アイデンティファイとは、その集団が別な集団BやCとは全く異なり、まさにその集団Aであることを、色々の事実から突き止めることを言う。そして、その集団が中国にいるのかロシアにいるのか、イランにいるのか北朝鮮にいるのかが突き止められる。
今回のコロニアル・パイプラインの犯行集団は、身代金要求の際に名乗ったと思われる「ダークサイド」という集団であることがわかっている。そしてロシアが関係していることもわかっている。なぜならダークサイドのランサムウェアは、ロシア語が関係しているシステムでは動作しない仕様になっているからである。つまりアイデンティファイという意味では、すでに身元が割れている。
米政府などが行ったカウンターアタック
その身元が割れた犯行集団に対して、今回の一連の事案では、カウンターアタックがかけられた。
Recorded Futureというサイバーセキュリティの会社の発表によると、5月14日には、ダークサイドが身代金関連のコミュニケーションとお金の受け渡しに使っていたペイメント関連のサーバーがダウンした。
Servers of Colonial Pipeline hacker Darkside forced down: security firm
https://techxplore.com/news/2021-05-servers-colonial-pipeline-hacker-darkside.html
Recorded Futureが観察したところによると、ダークサイド内部の人間のコメントが読めるようになっており、そこから、彼らが身代金として受け取った仮想通貨がペイメントサーバーから持ち去られた。
6月8日に米司法省が発表した2.5億円相当のビットコインの奪取が、5月中旬のダークサイドのサーバーダウンと直接に関係しているのかどうか、突き止めることはできないが、複数の主体が、ダークサイドに対してカウンターアタックをかけたということは、誰も否定できない事実のようだ。つまり、この種のサイバー攻撃が、政府側の主体によって反撃を受けるフェーズに入ったということを意味している。
ダークサイドの身代金が入ったデジタルワレットの中のビットコインが奪い返された際に用いられたのは、デジタルワレットの所有者しか知らない秘密鍵(プライベート鍵)が米政府当局によって奪われ、それによって中身が別なワレットに移動可能な状態になったというもの。言われてみれば至極簡単なことなのだが、どのようにして秘密鍵を奪ったのか、様々な可能性を吟味してみると、そこにはCIAのような特殊な任務を行う主体が動いていたとしか思えない。もはやプロフェッショナルが関わる戦争の状況になっている。
Reuters: U.S. seizes $2.3 mln in bitcoin paid to Colonial Pipeline hackers
https://www.reuters.com/business/energy/us-announce-recovery-millions-colonial-pipeline-ransomware-attack-2021-06-07/
民兵組織によるサイバー攻撃に米国は政府として立ち向かう
米政府は、今年6月4日に、ランサムウェアの犯罪をテロリズムと同等の優先順位に位置付け、対策に取り組むことを発表している。これは、相応の予算を投じ、相応の人員をあてがって、プロフェッショナルによる対策に取り組むことを意味している。
Exclusive: U.S. to give ransomware hacks similar priority as terrorism
https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/
テロリズムに対しては、先制的自衛権という考え方があり、テロが実際に実行される前に、国の当局が先んじてテロリストの拠点を殲滅するなどの対策を是と考える。また、それに準じるものとして、テロが行われた後に首謀者らを特定し殲滅する場合もある。それと同等のことが今回行われたと見ることができる。
米国がコロニアル・パイプラインで受けた被害は決して小さくなく、パイプラインが止まってガソリンが買えなくなったことから、米国各地ではガソリン争奪騒動が起こったりした。また、JBSの食肉供給の混乱がもっと長引けば、米国の食肉価格が2割上がる可能性があったと言う。このように経済や社会に大きな影響を与えるランサムウェアは、すでにテロリズムと同じ意味を持っている。
従って、米政府がランサムウェアとテロリズムと同等の扱いにしたということは、敵国の戦争当事者と同様に、その種の訓練を受けた人たちによって取り扱われる状況になったということである。
戦争論、戦略論では、正規軍に準じる扱いの軍隊として、いわゆる民兵を用いることがある。英語ではMilitiaと言う。
イランがイスラエル周辺のアラブ諸国に、イランの資金や軍事支援によって民兵組織を養成し、イランの代理としてイスラエルと戦わせるということをしている。ヒズボラなどがそうだ。同様にロシアも、正規軍としてのサイバー部隊以外に、直接的間接的にある主体を支援し、それに米国企業などを攻撃させる。
今回のダークサイドが、ロシア政府の支援を受けた民兵組織による犯罪だと解釈すると、図式がわかりやすくなる。その民兵組織に対して、米政府が公式に腰を上げたということだ。