ランサムウェアの産業化を示す5つの兆候

プロフェッショナルな見た目のWebサイトを使用するDarkSideの活動は、ランサムウェアが一つの産業と化しつつある様子を示しています。

ランサムウェアを操るサイバー犯罪集団「DarkSide」は、先日の記事で取り上げたように、身代金を支払わせるために被害者へさらなる圧力をかけるようになりました。それだけでなく、オンラインサービスプロバイダーのWebサイトのようなプロフェッショナルな見た目の「DarkSide Leaks」を立ち上げ、さらにはマーケティングの手法まで取り入れています。とあるアンダーグラウンドの犯罪グループであったDarkSideが大きな組織へと変貌していったことを示す、5つの特徴を見ていきます。

1.    広報窓口

まともな会社であれば、何らかのメディア向けページまたは広報窓口を持っています。DarkSideもそれに倣い、近々発表予定の情報漏洩に関するニュースを公開したり、メディア向けページ内でジャーナリストからの質問を受け付けたりしています。以下のQ&Aには、会員登録すると「質問することができる」「情報漏洩について、情報公開の前にお知らせが届く」と書かれています。

DarkSide Leaksのメディア向けページ

DarkSide Leaksのメディア向けページ

これは、できるかぎりネット上で騒ぎを大きくすることを狙ったものです。多くのメディアに注目されれば、それだけDarkSideへの恐怖心があおられ、次なる被害者は事が大きくなるよりも身代金を支払ってしまおうと判断する可能性が高くなります。

2.    復号サービス企業との提携

DarkSideは、正規のデータ復号サービスを提供する企業とのパートナーシップを模索しています。表向きは、「自社にITセキュリティの部門がない会社もあり、そういった会社はデータを復号するに当たって外部専門家を頼らなければならないから」ということになっています。DarkSideは、そういった専門家によるテクニカルサポートや作業量に応じた割引を提案しています。

パートナー募集のお知らせ

パートナー募集のお知らせ

これが言い訳でしかないのは明らかです。DarkSideはデータを復号できない被害者を気遣っているのではありません。国営企業の場合、犯罪者と交渉することを禁じられていることがありますが、復号サービスを提供する会社との連携については問題ありません。復号サービス提供会社は、言ってみれば仲介者の役を果たします。データの復旧を行うと見せかけて、実際にはDarkSideにお金を支払い、お釣りを懐に入れるのです。法的には問題ないかもしれませんが、犯罪的な共謀の匂いがします。

3.    慈善寄付

DarkSideは慈善事業に寄付を行い、そのことを自分たちのWebサイトであるDarkSide Leaksに掲載しています。わざわざそんなことをする理由は、身代金の支払いを渋る企業に対し、支払ったお金の一部は良きことに使われるのだと示して支払いを納得させることにあるように見受けられます。

慈善寄付についての説明

慈善寄付についての説明

ただし、米国をはじめいくつかの国々では、違法に得られたお金を受け取ることを慈善団体に禁じています(英語記事)。要するに、こういった形で支払ったお金が慈善団体の元へ届くことはありません。

4.    ビジネス分析

ランサムウェアを操る犯罪者が盗んだ情報はハッカーフォーラムにアップされることが多く、そういった情報を目にするのは犯罪者か情報セキュリティのエキスパートくらいのものでした。今では、一部のサイバー犯罪者たちが、盗んだ情報にデータや市場分析を加え、情報を漏洩させる前に企業関係者、顧客、パートナー、競合他社にコンタクトするようになりました。さらに、盗んだファイルへのリンクを関係者へ直接送付することもあります。主な目的は、やはり標的に最大限のダメージを与えることで、支払いを促進し、今後の被害者をおじけづかせることです。

関係者に宛てたメッセージ

関係者に宛てたメッセージ

5.    倫理原則の宣言

DarkSide Leaksには、倫理原則の声明が掲載されています。実際の企業が自社Webサイトに掲載しているものと同じような具合です。彼らはこの中で、製薬会社、葬儀場、教育機関、非営利団体、政府機関は攻撃しないと主張しています。この部分に関しては、こういった宣言をすることの意図が定かではありません。ランサムウェア被害に遭った人は「この攻撃者たちは配慮というものを知っている。なら、身代金を支払おうか」と思うのでしょうか?

倫理原則の宣言

倫理原則の宣言

最近起きた、学校の生徒のデータに関する一件を見ると、その宣言の信憑性に疑問符が付きます。厳密に言えば、攻撃を受けたのは教育機関ではありませんでしたが、犯罪者たちが「公開する」と脅しに使っていたのは、学校のデータでした。

対策

サイバー犯罪者たちが市場分析、企業との連携、慈善行為に投じる資金を有していることは明らかです。彼らのもくろみに立ち向かうには、収入源を断つことが重要です。

ヒント