原文のブログはこちらからご覧いただけます。
(本ブログ記事は、BlackBerry の John McClurg が Security Magazine に寄稿し、2022 年 7 月 8 日に公開された Cyber Tactics コラム「Costa Rica in Crisis: Russian Ransomware Raises Its Head」を許可を得て抜粋したものです。記事全文はこちらでご覧いただけます。)
Conti ランサムウェアのこれまでの進化と、その行く末について考えてみましょう。
何百もの世界的なランサムウェア攻撃の背後にある冷酷な脅威グループ Conti は、陽の降り注ぐコスタリカに暗い影を落としています。中央アメリカのこの共和国では、これまで国家機関を機能不全に陥れてきた一連のサイバー攻撃への抵抗が続けられています。2022 年 5 月 11 日、コスタリカのロドリゴ・チャベス大統領は、これらの攻撃を国家非常事態として宣言しました。こうしたサイバー攻撃はコスタリカに被害を与えるだけでなく、本コラムでこれから見ていくように、世界の安定をも脅かしています。
火を噴く Conti
コスタリカに対するこれらのサイバー攻撃が持つ重大性について述べる前に、Conti グループに関するいくつかの重要な事実を共有しておくべきでしょう。Conti ランサムウェアは 2020 年に出現し、その電光石火の暗号化能力で研究者の注目を集めました。このランサムウェアはマルチスレッド処理を巧みに利用し、驚異的な実行速度を達成しています。Conti ランサムウェアは当初、REvil、LockBit、Ryuk といった他のマルチスレッド型マルウェアサンプルの巧妙なバリエーションのように見えていました。
その発見から 1 年と経たないうちに、Conti は世界中の 400 を超える組織を侵害しました。
Conti が小規模な犯罪集団でないことは、すぐに明らかになりました。グループは自らを企業のように組織化した上で、標的を偵察し、二重の脅迫によって被害者に金銭の支払いを迫ったのです。この手口では、攻撃者はまず標的のシステムから情報を窃取し、それから暗号化を実施します。そして、復号鍵の対価として身代金を要求し、被害者が応じない場合は窃取したデータを公開すると脅しをかけます。侵害された組織は、攻撃者に抵抗しようものなら、壊滅的なデータ損失や社会的な屈辱、さらには一般データ保護規則(GDPR)プライバシー規制に違反するリスクにさらされます。
Conti の手法の有効性は議論の余地がありません。リークされたチャットログによると、このグループは 2021 年に 3,000 万米ドル以上を手にしています。この利益は、世界でランサムウェア攻撃が 105% 増加し、データリークサイトに掲載される企業情報が 935% 増加する中で生じたものです。Conti の戦術、技術、手順(TTP)はたしかに、極めて効果が高いようです。しかし、このグループがあまりの勢いで猛威を振るっているため、Conti を背後で操る存在の正体に疑問を抱く研究者もいます。
闇のつながりと、分かたれた忠誠心
別のコラムで述べたように、サイバー攻撃を特定の脅威アクターに帰属させることは極めて困難です。攻撃は複数の国を経由する可能性があり、そこには捜査に協力的でない国も含まれるため、出どころを特定することはほぼ不可能です。ある脅威アクターが他の脅威アクターになりすましたければ、単にその相手の TTP を模倣すればよいだけです。また、近年のサイバー攻撃はしばしば暗号化され難読化されている上、活動を隠蔽するために正規のシステムリソースが悪用されることも多々あります。端的に言えば、攻撃者はアナリストから身を隠し、発見された際にアナリストを誤った方向に導くために、多大な労力を費やしているのです。
とはいえ、Conti がロシアを拠点とするグループであることは広く報じられており、この見方はロシアによるウクライナ侵攻の最中で真実味を増しています。あるとき Conti が、ロシアを標的とする通常攻撃またはサイバー攻撃に対して報復を行うと威嚇したためです。この声明はサイバー犯罪コミュニティの内部で反発を引き起こし、最終的に Conti の内部情報の流出へとつながります。Conti がロシアへの忠誠を誓った直後、ウクライナのセキュリティ研究者が Conti グループの 1 年分の内部チャットを公開したのです。また、このすぐ後には Conti ランサムウェアのソースコードも公開されています。
コスタリカが映し出す世界の危機
そして現在に至り、Conti はコスタリカの政府機関に対してサイバー攻撃を容赦なく仕掛けています。ある事例では、Conti グループがコスタリカ政府に 1,000 万米ドルを要求し、結果として拒否されています。グループはこれを受け、窃取した数百ギガバイトのデータをリークサイトに公開し、「さらに深刻な」攻撃を行うと脅しをかけています。
米国務省は、Conti の中心的指導者を特定する情報に対して 1,000 万ドル、そして同グループの逮捕や身柄確保につながる情報に対してさらに 500 万ドルの報奨金を提示しています。しかし、これらの攻撃の真の危険性は、単なる報奨金によって対処できるものをはるかに超えています。各国ではこれまで長い間、サイバー攻撃はスパイ活動の一種であり、報復の引き金にはなるものの、事態をさらに激化させることはないものと見なされてきました。しかし、インフラ、政府機関、経済界に対するサイバー攻撃が国家により大きな打撃を与えるようになるにつれ、この感情は変化しつつあります。
ジョー・バイデン米大統領は昨年 7 月、深刻なサイバー攻撃が「現実の戦争」につながる可能性があると警告しました。Conti がコスタリカでの攻撃に対するすべての責任を負うと明言したのは、これが理由であるとも考えられます。同様に、Conti がロシアによる侵攻を支持するという当初の宣言を即座に訂正し、「いかなる政府とも同盟を結ばず、現在進行中の戦争を非難する」との免責事項を付け加えたのも、このためかもしれません。
サイバー攻撃の影響がより深刻化するに伴って、それに対する反応が激化することは必然であるように思われます。残念ながら、攻撃行為が自主的なものであるとして国家とのつながりを否定したとしても、その主張が正直さに欠け、また攻撃自体が戦争行為と見なされている状況では、ほとんど何の意味もないでしょう。
記事全文は Security Magazine でご覧いただけます。
- お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
- サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
- BlackBerry Japan:https://www.blackberry.com/ja/jp
- Facebook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/
- Twitter(日本語): https://twitter.com/BlackBerryJPsec
- LinkedIn: https://www.linkedin.com/company/blackberry/
- YouTube(日本語): https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos
.png)
