Loading AI tools
ハッカー集団 ウィキペディアから
ダークサイド (英: DarkSide) は、ランサムウェアと恐喝を使用して被害者から身代金を奪うハッカー集団である。グループ名だけではなく、彼らの使用するランサムウェア自体の名前も指す[1][2][注 1]。 ロシアまたは東ヨーロッパを拠点にしていると推測されており、コロニアル・パイプラインや東芝へのサイバー犯罪を行った犯行グループとして知られる[3][4][5][6]。ダークサイドは運営する自身のサイトで「非政治的」な組織と主張している[7]。
ダークサイドは東ヨーロッパ、おそらくロシアに拠点を置いていると考えられているが、著名な他のハッカー集団とは異なり、ロシアの諜報機関が直接運営しているとは考えられていない[5][8]。同グループも「我々を特定の政府と結びつけて、動機を探す必要はない」と否定している[9]。
セキュリティ専門家は、このグループは「ロシアで増殖・繁栄している数多くの営利目的のランサムウェアグループの1つ」であり、ロシア当局から暗黙の承認を受けており、外国をターゲットとする限り、その活動を容認されていると述べている[8]。
分析会社チェイナリシスによると、暗号資産犯罪においてロシア圏が「大きなシェア」を占めているという。2020年はロシア製のランサムウェアによる被害額が全体の86%、2021年は92%を占めていると推計している[10]。
FBIのレイ長官は「最近のランサムウエア攻撃は、FBIが調査中の約100種のランサムウエアのほんの一部にすぎない。100種のランサムウエアが、米国で発生した複数のランサムウエア攻撃に関与している。そしてロシアは、多くのランサムウエア犯罪に携わる者の温床となっている」と発言している[11]。
ダークサイドの使用するランサムウェア「DarkSide」は、システムの言語設定をチェックすることで、特定の地域にいるターゲットを回避している。除外リストには、独立国家共同体(ソビエト連邦の崩壊時に、ソ連を構成していた15か国のうちバルト三国を除く12か国によって結成された国家連合体)の12カ国の言語に加えて、シリアのアラビア語が含まれている[12]。
この言語チェック機能は、ランサムウェアのインスタンスを構築する際に無効にすることができ、そのようなバージョンの1つが2021年5月に観測された[13]。
ファイア・アイによれは、ダークサイドはこれまでに15カ国以上の企業や組織を狙って攻撃をしており[14]、トレンドマイクロの調査によると、2020年8月から2021年4月までの間に、「DarkSide」が世界で800台弱検出されている[15]。 ダークサイドが最も標的としている国はアメリカであり、500件以上検出されている。それから、フランス、ベルギー、カナダと続く[16]。 なお、同期間の日本での検出台数は3台と非常に少なかった[15]。
マカフィーが観察した25か国のうち攻撃の影響を受けたデバイス数(100万台あたり)が多いのは、イスラエル(1573.28)、マレーシア(130.99)、ベルギー(106.93)、チリ(103.97)、イタリア(95.91)、トルコ( 66.82)、オーストリア(61.19)、ウクライナ(56.09)、ペルー(26.94)、アメリカ(24.67)の順である[17]。
言語による除外の他に、保健センター、学校、および非営利団体などの施設は攻撃対象から除外されている[18]。 ダークサイドは公式サイトで、「病院、学校、非営利団体、政府ではなく、多額の身代金を支払う余裕のある企業を狙う」ことを公言している[19]。
また、同グループは身代金として奪った2万ドルを2020年10月に慈善団体に寄付したと主張しており[15]、義賊の「ロビン・フッド」のようなイメージを作ろうとしているとされる[3][20]。 だがCybereasonによると、その寄付金の出所が盗まれた仮想通貨だったため、複数の慈善団体から受け取りを拒否されたという[21]。
ダークサイドは大きく分けると、ランサムウェアを開発するグループと、「パートナー」と呼ばれる外部の実行役ハッカー(アフィリエイト)に大別される[2][22]。積極的な宣伝を通じてアフィリエイトパートナーを募り、攻撃を実行させる[14]。
ダークサイドが開発した「DarkSide」を使用するにはアフィリエイターになる必要があり、それには審査で合格しなければならない[1]。加入できた者はパートナーと認められ、RaaSの管理パネルへのアクセス権が与えられる[1]。そこからランサムウェアのある程度のカスタマイズや、身代金の管理まで可能である[15]。アフィリエイトプログラムにはソフトウェアや仕様書と、使い方の練習方法などを含む「ツールキット」が提供される[23]。
そしてこのツールを使用し身代金を手に入れることができた場合、その一部をダークサイドに納めるというビジネスモデルである[6][24][19]。 ダークサイドの取り分は、身代金が50万ドル未満の場合は25%、500万ドルを超える場合は10%とされている[25]。
この様な、他のサイバー犯罪者が使用するマルウェアを開発・販売するビジネスモデルは、IT業界で普及している業務ソフトの販売手法「SaaS」(ソフトウエア・アズ・ア・サービス)に似ていることから、「RaaS」(ランサムウェア・アズ・ア・サービス)とも呼ばれている[2][26]。 セキュリティ企業のMandiantは、DarkSide RaaSプラットフォームの異なる関連会社を示す可能性のある5つの脅威活動のクラスタを記録しており、そのうちの3つ(UNC2628、UNC2659、UNC2465)について説明している[13]。
RaaSによって、スキルを持たない素人でもツールを購入すれば簡単にサイバー攻撃を仕掛けることが可能になった。南カリフォルニア大学のノイマン准教授は「ツールの開発者はパートナーの犯罪行為を手助けしながら、継続的な収益を得ることができる」と両者が相互依存の関係にあると指摘している[2]。
バイデン政権の担当官は、「(ハッキング技術が)サービスとして提供され、収益が分配されるという、新しくて非常に厄介なタイプだ」と語った。ランサムウエアは猛威を振るっており、チェイナリシスによると2020年の身代金総額は3億5000万ドルに達した。これは前年の4.1倍にあたる[2]。 さらに実際の被害額は、これをはるかに超えるとも指摘されている。ハッキングされたり情報を盗まれたりすることは、自社のセキュリティーの甘さを示すに等しく[27]、また犯罪集団に金銭を渡してしまった負い目から、その被害を伏せることが多いためである[10]。
ダークサイドが最初に注目されたのは2020年8月のことだった[28]。セキュリティ情報サイトのKrebs on Securityによると、ロシア語のハッキングフォーラムで活動が確認され、2020年11月には「exploit.in」や「XSS」でRaaSの宣伝をしていたという[1]、ハッカー集団としては新興勢力である[14]。
「DarkSide」は、ロシアの別のハッカー集団であるREvilが使用している ランサムウェアに類似している。REvilのコードは公開されておらず、これはダークサイドがREvilから派生したグループ[29]、またはREvilとパートナー関係であることを示唆している[6]。
ダークサイドは通常のブラウザではアクセスができない、いわゆるダークウェブ上に自分たちのサイトを置き、これまでのハッキングや盗み出した情報などの「業績」を並べている[23]。 このほか、ヘルプや広報、被害者向けの電話窓口[2]、ほかにプレスセンターも有しており、一見するとオンラインサービスのプロバイダーのようにも見える[30]。さらにジャーナリストや複合化会社と提携を試みていることから、カスペルスキーはこのグループを「企業」と表現した[4]。ダークサイドは、ログイン情報を盗み取る「アクセス・ブローカー」とも取引しているとされている[23]。
以前は無作為にウイルスをばらまくサイバー攻撃が多かったが、近年は事前に企業を絞り、時間をかけて攻撃する「標的型攻撃」が主流となっている[27]。
ダークサイドが標的とするのは主に大企業で、NASDAQなどに上場している企業を狙うと主張している[14]。2020年8月から2021年4月までの間に、ダークサイドがハッキングしたと公開していた企業数は99社で、IT、金融、製造などが多い。日本企業も2社が情報を公開されている[15]。
ダークサイドは2020年12月から2021年5月まで、アメリカの石油・ガスのインフラを攻撃した[8]。2021年3月にはITマネージドサービスプロバイダーのCompuCom Systemsを攻撃し、復元費用は2,000万ドルを超えた。また、カナダのDiscount Car and Truck Rentals社や[31]、日本の東芝の子会社である東芝テックも攻撃を受けた[32]。ドイツのブレンタークからは身代金の搾取に成功した[22]。
2021年1月にはアメリカのある大企業を脅迫して3000万ドル(約30億円)を要求し、交渉の過程で減額には応じたものの、多額の身代金を手に入れたという[14]。
要求する身代金は、20万ドルから200万ドルの範囲が多い[28][29]。 また事前に攻撃対象の財務状況を調査するケースが増えている。あらかじめ調べておくことで、被害者が支払える可能性のある最高額を設定できるためである[33]。
さらに盗んだ情報の中からサイバー保険に関する情報を見つけ出し、被害者が受け取る保険金の額を知ることで交渉を有利に進め減額を拒む[14]。
暗号通貨セキュリティ企業のEllipticは、2021年3月にダークサイドが開設したビットコインウォレットのトランザクション履歴を分析し、少なくとも47の被害企業から9,000万ドル以上(約100億円)を受け取っていたことを突き止めた。身代金の平均支払い額は190万ドルだという[34]。
カスペルスキーのグローバル調査分析チームによると、近年の主流であるデータデータを暴露する手法により、標的から身代金を獲得する確率を向上させ、企業にとっては信用の失墜などに繋がることもあり、身代金の支払いに応じてしまうことも多いという[35]。
受け取った金は異なるウォレットに送金されているのがブロックチェーン上で確認されており、身代金の分配がされていたと思われる。「DarkSide」開発チームが17%にあたる1,550万ドル(約16.9億円)を受け取り、残額の7,470万ドル(約81.4億円)は様々なパートナーに支払われたという[36]。
これまではランサムウェアの被害に遭った企業が身代金を支払ったとしても、データを元に戻せる(暗号化されたデータの復号)という保証はなかったため、支払いに応じる企業も少なかった。 電子メールセキュリティ対策を手掛けるMimecastによると、攻撃された企業のうち身代金の要求に応じたのは52%。しかしデータを復元できたのはその内の66%にとどまり、残る34%は身代金を支払ってもデータを戻すことはできなかった[37]。 英セキュリティ企業Sophosが世界30カ国の中堅組織を対象に実施した別の調査によれば、身代金を支払ってデータを全て取り戻すことができたケースはわずか8%だった[37]。
身代金を支払うメリットはそれほど低かった。だがダークサイドはそれを逆手に取り“信用”を売りにした。「我々に身代金を支払えば暗号解読ツールを受け取れることを知っている。だから身代金の支払いに応じる確率が非常に高く、交渉にかかる時間も極めて短い」とブログで主張している[14]。
Ellipticによると、ダークサイドの被害に遭った企業の半数が身代金を支払っていたことが判明している[26][25]。
コロニアル・パイプラインは、テキサス州からニュージャージー州までの5,500マイル(約8,850km)を結ぶパイプラインを運営し、扱う生成燃料は1日当たり1億ガロン(約3億8000万リットル)。東海岸の燃料消費の45%を賄っているアメリカ最大手の企業の一つである[38][39]。
2021年5月6日、コロニアル・パイプラインのサーバーから約100ギガバイトのデータが盗まれる[40]。
5月7日午前5時半頃、悪意のあるソフトウェアによってサイバー攻撃を受けデータを暗号化されていることが発覚[38][41]。 すでに何台かのコンピューターが暗号化されたため、感染が拡大しないようにするため一部の情報システムをオフラインにした[30][5][29][42]。これにより操業も停止。アメリカのライフラインに対する史上最悪のサイバー攻撃となった[3]。
5月8日、同社が事件を公表[41]。しかし「現在進行中の今回の攻撃の性質と範囲について調査を開始しました」という短い声明を発表するに留めた。ロイターによると、セキュリティ会社ファイア・アイのインシデント部門が対応しており、その調査チームの報告によるとダークサイドの関与が疑われた[43]。
セキュリティー会社ディジタル・シャドウズ創業者のジェイムズ・チャペルは、今回の攻撃は新型コロナウイルスによるパンデミックの影響で起きたと指摘している。リモートワークが推奨され、自宅から作業しパイプラインの制御装置を操作するエンジニアが増え、パソコンを遠隔操作できるTeamViewerやMicrosoft Remote Desktopなどを利用する社員をターゲットにし、それに関係するログイン情報を買い取ったのだろうと考えている[23]。
2020年から同グループの動きを追っていたというセキュリティ企業のIntel 471も、Citrixやリモートデスクトッププロトコル(RDP)といったソフトウェアの脆弱性を悪用して狙った企業に侵入したり、IDやパスワードなどの認証情報を闇フォーラムで調達したり、ブルートフォース攻撃や詐欺メールなどの手口を通じて入手したのではないかと分析している[14]。
トレンドマイクロによると、既存の脆弱性を悪用しており、Microsoft Exchange Serverの脆弱性を悪用された可能性が高いとしている[14]。
情報セキュリティーに詳しいサウスカロライナ大学のファン教授は、RaaSの背後にいるハッカーは通常、Botと呼ばれるウイルスに感染した多数のコンピューターからなる大規模なネットワークを構築しており、それらを犯罪者に貸し出し、標的となる企業に大規模な攻撃を仕掛けることで「被害を最大化し、身代金を得る可能性を高めている」という[2]。
侵入した端末を足掛かりに遠隔操作で別の端末を次々と乗っ取り、サーバーにある重要なデータを暗号化したり、盗み出したりする[27]。 暗号化と同時に、脅迫に利用するためデータを盗むことも多く、コロニアルの場合も約100GBのデータを盗まれていた[44]。ダークサイドは、盗み出したデータを米国内にある中間サーバーに保存していた[45]。
ワシントン・ポストによると、外部のセキュリティ会社は迅速にその状況を把握、情報がどこに送信されたかを突き止め、そのホスティングサーバへ連絡。プロバイダーはFBIに通報し、当該サーバーをネットから切り離したという[46]。このため犯人たちはおそらく盗んだ情報にアクセスできなくなったものと見られている[30]。
セキュリティメディアZero Dayよると、今回の事件で盗まれたデータは、燃料の使用量とそれに基づく請求を行う勘定系であり、実際の燃料輸送を制御する操業系は難を逃れていたとしている。コロニアル・パイプラインが操業停止したのは、請求業務ができなくなったからだと説明している。だが請求システムが感染してしまったことで、燃料の流通状況を追跡して顧客に請求する手段がなくなり、業務停止という決断を下した要因になった可能性があるという[33]。
CNNは、盗まれたデータのうち最も重要なものは、ロシアに転送されるプロセスで経由したアメリカのサーバーに残っている段階で当局により取り押さえられており、身代金を支払う必要も予定もないとしている[47]。
操業が停止したことで南東部ではガソリン不足への懸念が起こり、ガソリンスタンドに長蛇の列ができたり、パニック買いが発生した[48]。エネルギー業界は、国内には十分なガソリン備蓄があるとし、買いだめを控えるよう呼び掛けた[49]。
調査会社ガスバディーによると、ジョージア州アトランタ都市圏では、約60%のガソリンスタンドでガソリンが売り切れとなった。ノースカロライナ州でも65%、ジョージア州とサウスカロライナ州では43%が在庫切れになったという。ガソリン価格も上昇し、米国自動車協会によると、無鉛ガソリンは1ガロン当たり平均3ドル上昇したという[49]。
ソーシャルメディアではハッシュタグ「#GasShortage2021」(#ガソリン不足2021)がトレンド入りした。新型コロナウイルス危機の初期に見られた「トイレットペーパー不足を思い出した」というコメントもあった[50]。
エネルギー省のグランホルム長官は「昨年発生したトイレットペーパーの買い占めと同じ問題が発生しています。ガソリンがなくなるというデマを信用しないでください。アメリカはガソリンをたくさん保有しています。無用な買い占めは控えてください」と国民に冷静になるようお願いした[51]。
コロニアルが操業再開のスケジュールを示していないことから、ニューヨーク原油先物相場とガソリン先物相場も上昇。NYMEXガソリン6月限は一時4.2%高の1ガロン=2.217ドルを付けた[52]。
5月9日、攻撃手段はランサムウェアだったと報告し、セキュリティの専門家や政府と連携して対応していると述べた[41]。また主要4本のパイプラインはまだ停止中だが、中継地点を結ぶ支線の一部の輸送を再開した[53][54]。運輸省の自動車運輸安全局(FMCSA)は地域緊急事態宣言を発令。規制を緩和し、パイプライン停止に伴う燃料不足に対応する方針を打ち出した[41]。またバイデン大統領は、パイプラインが回復するまでタンカーによるガソリンとディーゼル輸送の制限緩和を検討するよう指示した[9]
5月10日、ダークサイドは「我々は非政治的であり、地政学には関与していない。我々の目的は金儲けであり、社会に問題を起こさないことだ」と声明を掲載した。コロニアル・パイプラインを標的にしたのは、アフィリエイト利用者だったとし、「今後はわれわれが開発したツールを使用してサイバー攻撃を仕掛けるクライアントが標的とする企業がどんな企業かを事前に確認することにする」と釈明したものの[9][30]、アメリカの大手メディアは、市民生活に影響の出るライフライン企業を攻撃したことで、「一線を越えた」とダークサイドを非難した[54]。
5月10日、FBI(アメリカ連邦捜査局)はダークサイドによる犯行と断定した[48]。サイバーセキュリティー担当の国家安全保障副補佐官は、政府がコロニアルに対し身代金の支払いに応じるよう助言しているかと質問に対し「これは民間が決定することであり、政権は現時点でいかなる助言も行っていない」と述べた[48]。
同日、FBIとCybersecurity and Infrastructure Security Agencyは、重要インフラの所有者および運営者に対し、ランサムウェアに対する脆弱性を軽減するための措置を講じるよう、共同で警告を発した[19]。
5月11日、在米ロシア大使館は声明を発表し、事件を巡りロシアを非難するマスコミ報道に反発。「我々は一部のジャーナリストの根拠のないでっち上げを断固として否定し、ロシアが仮想空間で『悪意ある』活動を行っていないと改めて表明する」と述べ、ロシア政府が関与しているとの憶測を否定した[55]。
5月12日午後5時頃、コロニアルが操業を再開した[56]。石油市場アナリストは、起点のテキサスの精製所では搬出されない石油が貯まっており、「11日までに何とかならないと、大変なことになる」と警告していた[53]。復旧の見通しが立ったことで、一時売られていた原油先物も買い戻された[57]。
ワシントン・ポストは12日に関係者の話として、コロニアルが身代金要求に応じず、バックアップシステムの復元によるパイプラインの再稼働をめざしていると報じていたが[56]、翌5月13日、Bloombergは関係者の話として、コロニアルが攻撃後からわずか数時間後には身代金を支払っていたと報じた[58]。BBCは、身代金の支払いは11日とするなど情報が錯綜している[59]。
ホワイトハウスのサキ報道官は、身代金を払ったという情報は正式発表されたものでないためこのケースのコメントではないとしつつも「政府とFBIは、企業が身代金を支払うのは利益にならないという立場をとっている」と述べた[58]。
同日、バイデン大統領はサイバーセキュリティ対策の強化を目指す大統領令に署名した[60]。ダークサイドはロシア語のフォーラムを利用しており、今回の犯行声明においても英語のスペル間違いなどが確認されたことから、ロシア系のグループとされている。バイデンは「今回の攻撃はロシア政府の指示によるものではないが、ロシア政府には本件に対処する責任がある」という声明を発表した[54]。
5月14日、ダークサイドは東芝グループのフランスの拠点から、製品や人事などの情報など740ギガバイト以上の機密情報を盗んだと宣言。身代金を要求した[61]。
同日、東芝は深夜にフランスやベルギーなど4か国のグループの欧州子会社東芝テックがサイバー攻撃を受け情報が流出したことを認めた。同社は被害の拡大を抑えるため、日本と欧州間、欧州域内子会社間のネットワークやシステムを停止したため、失われた情報は最小限に留まると説明した[62]。またダークサイドを名乗るハッカー集団からメールで身代金の要求があったが「要求には返答せず、応じる考えもない」としている[27][63]。
5月14日、セキュリティー大手レコーテッド・フューチャー、ファイア・アイ、Intel 471ら複数の情報としてダークサイドが活動を停止したと報じられた。ダークサイドが関係者に送ったロシア語の声明を入手し[64]、その中で、「アメリカからの圧力により」事業を停止し、ダークウェブ上のサイトやアフィリエイトプログラムを閉鎖すると述べた[22][65][66][67]。「圧力」というのが具体的に何を指すのかは明らかになっていないが、前日、ジョー・バイデン大統領は、アメリカがダークサイドに対して「彼らの活動能力を破壊する」ための行動を起こすことを示唆していた[22]。
パートナーへのメッセージでは、ある国家の法執行機関によりダークサイドのサーバと、暗号通貨のアカウントが当局に押収されたため、身代金にアクセスできなくなったと述べている[22][26]。だがこの件に関して政府は公式の見解を示していないため[64]、本当に当局が一斉摘発に踏み切ったのか、それとも犯行集団が単に身を隠しただけなのかは分かっていない[14]。
5月16日、レコーテッド・フューチャーは、ランサムウェア攻撃を仕掛ける別の2つのハッカー集団「AKO」と「エベレスト」のサイトがアクセス不能になったと伝えた。ハッカー集団のウェブサイトが不安定になることは少なくないが、「著名なハッカー集団のサイトが24時間ダウンするのは異例で、意識的にサイトを遮断したとみられる」という[68]。
またハッカー集団の「Avadon」と「REvil」は、政府機関、非営利団体、医療機関への攻撃を中止する方針を掲げ、活動を停止・縮小する意向を表明した。これらが、アメリカ政府の外交圧力によるものか、技術プロバイダーへの法的な要求によるものなのか、また政府を後ろ盾とするハッカー攻撃によるものなのかは不明である[68]。
セキュリティー会社Emsisoftは、ハッカー集団の一部がパイプラインの混乱を受けて活動を停止したものの、再び事件前の水準まで増加。その遅れを解消しようとしている可能性があると指摘した[69]。
5月18日、コロニアルのシステムが午前にアクセス不可能になった。この障害を受け、顧客の間では燃料輸送を巡り再び懸念が広がったが、ランサムウエアなどウイルスへの再感染ではないとし、システムも同日中に復旧した[70]。
5月19日、同社のジョゼフ・ブラウント最高経営責任者が身代金75BTC(5月8日時点のレートで約5億円)を支払っていたことを正式に認めた[58]。CEOは「非常に物議を醸す決断」だった。ハッカーのような犯罪者に金が渡るのを見るのは気持ちの良いことではなかったが、「国にとって正しい行いだった」と説明した[71][22]。油送管の停止が長引くことで、市民生活に広がる打撃を避けるためだったと自社の判断を擁護した[72]。
同社はビットコインで支払いし、見返りに暗号化されたシステムを解除するための復号ツールを受け取ったという[66]。 それでも復旧に時間がかかったのは、復号に非常に時間がかかるツールだったため、コロニアルは独自のバックアップでシステムの復元をする必要があったと情報筋の1人は語っている[58]。
今回の事件の対応をコロニアルから依頼されていたMandiantは「クライアントに代わって、直接支払いをすることはない」としているが、被害者が「身代金を支払う」選択肢を選ぶこともできると認めている[73]。 一方アメリカ政府は、標的にされた企業が要求に応じてしまえば、金銭を要求する手口のサイバー攻撃を一層助長する恐れがあるとして、支払いに応じないよう求めている[72]。
ロイター通信によると、コロニアルは「サイバー保険」に加入していたという。身代金の支払いなどに充てられる補償額は最低1500万ドル(約16億4千万円)に達するといい、今回の支払額を十分にカバーできる内容だった[72]。
調査会社ガートナーによると、世界のサイバーセキュリティー対策費用は年率8.7%で増加が続いており、2025年には2137億ドル(約23兆円)に達すると見込まれている。ITシステムを攻撃することで利益を得ようとする犯罪者集団とのいたちごっこが続いている[2]。
欧州5大保険会社の一角を占めるアクサは、フランス政府の要請を受け、ランサムウェア保険を停止することを明らかにした。セキュリティ専門家らは以前から、身代金の支払いを補償するサイバー保険の登場によってランサムウェアの大流行に火がつけられており、実際に攻撃に拍車がかかっていると批判している[74]。
ダークサイドはすでに活動を停止したが、セキュリティの専門家は、グループを解散したという彼らの主張は、監視の目をそらすための策略である可能性があり[22]、別の名前で活動を再開する可能性があると警告した[65]。これまで巨額の身代金を手に入れてきた集団が、こんな実入りのいいビジネスからそう簡単に手を引くとは思えない[14]。サイバー犯罪集団が、このように一旦閉鎖してから復活し、ブランド名を変更することはよくある事である[22]。Intel 471は「ハッカー集団は、突然自分たちの過ちに気付いたのではなく、(今回の事件で世界的な注目を浴びてしまったため)スポットライトから退こうとしているのだろう。多くの集団は内輪で活動を続け、新たな名称で再浮上して、ランサムウェアの亜種を更新する公算が大きい」と分析している[14]。
5月26から27日に実施されたロイター通信とリサーチ会社イプソスの共同世論調査によれば、バイデン政権の支持率は52%で、前回の調査(19~20日実施)と比較すると4%下落、一方不支持率は44%となり5%上昇した。ダークサイドは、米国社会に混乱を招き、大統領の支持率も低下させた。国民生活と直結しているガソリン価格の高騰が続き、政権への不満があると表れたと見られている[75]。
5月31日、ブラジルの世界最大手の食肉加工メーカーJBSの米国、カナダ及びオーストラリアの食肉処理工場がランサムウェア攻撃を受けて停止に追い込まれた。FBIはロシアのハッカー集団「REvil」(別名ソディノキビ)による犯行と断定した[75]。
6月7日、サリバン大統領補佐官は「国内の重要インフラに対するランサムウエア攻撃は安全保障の優先事項だ」と語り、バイデン政権が今週開かれるG7サミットでサイバー攻撃に対応するための行動計画の策定を検討しているとした。ランサムウエアへの防衛力の向上や、暗号資産のあり方などが議論の対象になると指摘。「サイバー攻撃の犯罪集団をかくまうロシアなどに対し団結して対処する方法」など行動計画の策定を検討していると明らかにした[76]。
6月7日、司法省はダークサイドに支払われた仮想通貨を回収したと発表した。北カリフォルニア地区のハインズ連邦検事代行は「恐喝者らがこのお金を目にすることは決してない」と述べた。発表によるとFBIなど捜査当局が63.7BTCを回収。これは支払われた身代金の約85%にあたるが[77]、ただビットコインは大幅に値下がりしており6月7日時点のレートだと約2億5000万円に相当する[78]。
FBIはダークサイドの活動が確認された去年からすでに捜査を開始していたという[79]。FBIを管轄する司法省は、ランサムウエアやデジタル恐喝攻撃に特化したタスクフォースを新設し[80]、この部署が今回の捜査を担当したという。FBIは具体的な捜査に関する説明を控えたが、7日に提出された宣誓供述書によると[81]、コロニアルは支払ったビットコインの情報を早い段階でFBIへ連絡、一連の指示に従っていた。これが助けとなり、捜査員はハッカーが使う暗号通貨ウォレットへの支払いを追跡することが可能になった[79]。
ビットコインはpseudo-anonymous(疑似匿名)で、デジタルウォレットに名前はつかないが、ウォレットと中の資産は追跡可能だという。しかし、追跡には暗号キー(事実上のパスワード)が必要とされる[82][83]。 捜査チームは、ブロックチェーンを検索して取引の金額やアドレスを特定できるソフト「ブロックチェーン・エクスプローラー」を使用し、ダークサイドが様々なビットコイン・アドレスを通じて資金洗浄をしていたことを知った[82]。 複数の送金を追跡することで身代金が「Subject Address」という特定の1つの仮想通貨アドレスに送金されたことを突き止めた[81]。このアドレスには5月27日に支払いが殺到していたという[82]。 このアドレスはカリフォルニア北部地区に位置しており、サンフランシスコの判事が資金の差し押さえを承認し[84]、刑事および民事没収法の下、押収したと説明した[83]。FBIが暗号資産にアクセスするために必要な秘密鍵を入手した経路は明かされていない[81]。宣誓供述書によると、幸運なことに入手していたという[82]。
ダークサイドは先月14日、同グループのパブリック部分のインフラへアクセスできなくなり、決済サーバーから「未知の口座に」資金が引き出されたと説明[36]。どこかの法執行機関によって差し押さえと主張しており、実際Ellipticによっては、ダークサイドのウォレットにあった5,300万ドル(約57.8億円)が、空になっていたことが確認されていた[36]。当初はダークサイドの狂言とも思われていたが[36]、今回の報道はこれを裏付ける形となった。ただ今回押収された金額はダークサイドが所持していたほんの一部であり、残り資産も押収されたのか無事に余所に移したのかは不明である。
ランサムウェアを使った身代金ビジネスが横行する中、サイバー攻撃の被害に遭った企業の身代金を回収できたケースは珍しい[79]。暗号通貨の回収は困難である見られていたが[85]、捜査当局はデジタルマネーの流れを追う技術を高めており[84]、最近新設されたタスクフォースが押収を実施するのは初めてのことだった[79]。
リサ・モナコ司法副長官は「ダークサイドに反撃した」「今日、形勢が逆転した」と成果を強調した[86][87]。同時に米企業に対策強化も要請。サイバー攻撃を受けた場合はただちに政府に通報し、連携して対処するよう求めた[80]。会見に同席したFBI幹部は、海外を拠点とするハッカー集団には「資金の遮断が最大の打撃を与える手段になる」と述べた[80]。コロニアルのCEOは「彼らの迅速な仕事とプロ意識に感謝している」と敬意を表した[84]。
またこのニュースを受けて、ビットコインの価格が一時7%近く下落した[88]。暗号資産は匿名性や資金の流れが見えづらい点が魅力の一つであり、つまり犯罪に使われやすいということでもあった。しかし、当局が本気を出せば、突き止められることも明らかとなった[89]。アナリストは「追跡し奪還できたという事実が、政府のコントロールから自由だとの認識を弱めたのかもしれない」と述べた[88]。今回のビットコインの下落は所持していた犯罪者がリスクを避けて売った可能性もあるが、当局が奪還したビットコインの換金なども意識した動きとも見られている[89]。
RaaSビジネスで結ばれた開発者とアフィリエイターは、得た利益を両者で分配する契約だが、ダークサイドの突然の消滅で分配金を受け取れなくなった実行犯たちの間で混乱も生じている。Mandiantによると、闇フォーラムではDarkSideからの未払いを訴える声が続出しており、DarkSideの消滅は、資金を集めて姿をくらます「出口詐欺」だったのではないかとの憶測も浮上している[90]。
2021年11月4日、国務省は事件に参加した容疑者の訴追につながる情報提供者に最大500万ドルの報奨金、首謀者の身元特定や居場所に関する情報提供者に最大1000万ドルの懸賞金を出すと発表した[91]。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.