LockBitランサムウェアの首謀者とされる人物が特定される

米国、英国、オーストラリアの法執行機関は本日、共同でロシア国籍のドミトリー・ユリエヴィッチ・ホロシェフを、LockBitSuppハンドルの運営者であり、数年にわたるハッキング活動で被害者から推定5億ドルを詐取している悪名高いLockBitランサムウェアグループの首謀者として名指しした。

LockBitのリーダーは長年謎に包まれたままです。オンライン上のニックネームを巧みに利用し、LockBitSuppは身元を明かすことを回避し、オフラインでの身元を明かすことはできないと豪語してきました。実名を明かした人に1,000万ドルの懸賞金をかけることさえありました。

法執行機関がKhoroshev氏とLockBitSupp氏を関連付けたのは、英国警察がLockBitグループのシステムに侵入し、複数の逮捕者を出した後に起きた。警察はLockBitグループのサーバーをオフラインにし、グループの内部通信を収集し、LockBitのハッキング活動を停止させた。英国国家犯罪庁（NCA）が主導する「オペレーション・クロノス」と名付けられたこの法執行機関による摘発は、ハッキンググループを事実上無力化し、ロシアのサイバー犯罪エコシステム全体に波紋を広げた。

ホロシェフ氏は、名前が公表されただけでなく、米国、英国、オーストラリアからも制裁対象となっている。米国外国資産管理局（OFCC）によると、ホロシェフ氏は31歳でロシア在住であり、制裁対象者にはロシアのパスポート情報に加え、複数のメールアドレスと仮想通貨アドレスも記載されている。米国はホロシェフ氏に対して起訴状を提出している。

ホロシェフ氏は制裁対象リストに記載された電子メールアドレスに送られたメッセージにすぐには反応しなかった。

米国司法省が公表した26件の起訴状では、詐欺共謀、恐喝、ハッキングなど、数々の罪状が列挙されている。司法省によると、これらの罪状は最高で懲役185年が科される可能性がある。

起訴状によると、ホロシェフは2019年9月頃からLockBitグループの「開発者兼管理者」として活動し、ランサムウェア攻撃で使用される「コントロールパネル」の設計・開発に携わっていた。起訴状によると、ホロシェフとLockBitグループは、ロシアのサイバー犯罪者が滅多に標的としないロシアを含む世界120カ国の被害者から少なくとも5億ドルを脅し取った。この活動でホロシェフは約1億ドルを受け取ったとされている。

今年初めに摘発される以前、LockBitは史上最も活発なランサムウェア集団の一つに成長し、毎月数百件もの攻撃を仕掛け、支払いを拒否した企業から盗んだデータを容赦なく公開していました。ボーイング、英国の郵便サービス会社ロイヤルメール、カナダの小児病院、中国工商銀行などは、LockBitまたはその関連会社による最近の被害者リストに含まれています。司法省の起訴状によると、ある事例では、LockBitはバージニア州に拠点を置く航空防衛企業に2億ドルを要求しました。

捜査官たちは、LockBitの活動の規模と範囲について、より詳細な解明に​​着手している。NCAの上級捜査官は、活動への継続的な関与のため氏名を公表されていないが、LockBitは2023年12月末までにリークサイトで2,350人の被害者を公開していたが、これは同社のハッキング活動のほんの一部に過ぎないと述べた。

調査員によると、システム内には、それぞれ異なる被害者に向けた「攻撃ビルド」が7,000件存在していた。米国、英国、フランス、ドイツ、中国が最も多く標的となった企業だった。LockBitには医療施設を標的にしないという社内規則があったにもかかわらず、100以上の病院がリストに載っていた。「LockBitは、そのような行為を行った個人を公に解雇すると発表しましたが、実際には解雇しませんでした」と調査員は述べている。

「もしあなたがサイバー犯罪者で、こうしたマーケットプレイスやフォーラムやプラットフォームで活動しているなら、法執行機関がそこであなたを監視し、あなたに対して措置を取らないという確証はない」とNCAの国家サイバー犯罪ユニットの責任者、ポール・フォスター氏は言う。

サップの台頭

LockBitは2019年に、新興の「ランサムウェア・アズ・ア・サービス」（RaaS）プラットフォームとして登場しました。この体制の下、LockBitSuppというハンドルネームで組織された少数の中核メンバーが、同グループの使いやすいマルウェアを作成し、リークウェブサイトを立ち上げました。このグループはLockBitのコードを「アフィリエイト」ハッカーにライセンス供与し、攻撃を仕掛けて身代金の支払いを交渉させ、最終的にLockBitに利益の約20%をもたらしました。

数千件もの攻撃を仕掛けてきたにもかかわらず、当初は他のランサムウェアグループと比べて目立たないようにしていた。しかし、LockBitの知名度が上がり、サイバー犯罪エコシステムを支配し始めると、メンバーはより大胆になり、そしておそらくは不注意になった。NCAの上級捜査官によると、LockBitのシステムから194の関連組織に関するデータを取得し、彼らのオフラインでの身元を解明しているという。そのうち、金銭を稼いでいなかったのはわずか114人だったという。「中には無能で攻撃を実行しなかった者もいた」と捜査官は述べている。

全ての中心にあったのはLockBitSuppという人物でした。NCAの捜査官によると、LockBitの関連会社が最初に企業や組織を攻撃した後、LockBitの管理者が、注目を集める、あるいは高額の身代金交渉の「責任」を直接負った事例が「多数」あったとのことです。

司法省の起訴状によると、Khoroshev氏はLockBitSuppとして関連会社を綿密に追跡し、各関連会社と彼らが標的とした被害者のデータベースを保有していた。「場合によっては、Khoroshev氏は関連会社の共謀者から身分証明書の提示を要求し、それを自身のインフラ上に保管していた」と起訴状は述べている。

サイバーセキュリティ企業Analyst1の研究員、ジョン・ディマジオ氏は、長年にわたりLockBitを調査し、LockBitSuppのハンドルネームとやり取りしてきた。「彼はLockBitをビジネスのように扱い、犯罪活動の効率化についてアフィリエイトパートナーから頻繁にフィードバックを求めていました」とディマジオ氏は語る。LockBitSuppのハンドルネームは、アフィリエイトパートナーに対し、より効果的に活動するために何が必要かを尋ねていたと、ディマジオ氏は語る。

「彼は単に金を横領しただけでなく、それを再投資して自身の活動を発展させ、犯罪者にとってより魅力的なものにしたのです」とディマジオ氏は語る。LockBitグループの活動期間中、マルウェアは2回にわたり大規模なアップデートとリリースが行われ、それぞれが前回よりも機能が向上し、使いやすくなっていた。セキュリティ企業トレンドマイクロによる法執行機関向け活動の分析によると、LockBitも新バージョンの開発に取り組んでいたことが分かっている。

ディマジオ氏によると、LockBitSuppというニックネームを使って個人的に話していた相手は「傲慢」ではあったものの、「実務的で非常に真剣」だったという。チャットで猫のステッカーを送ってくることを除けば。ハッカーたちがデータを交換し、ハッキングに関する政治やニュースを議論するロシア語のサイバー犯罪フォーラムでは、LockBitSuppは全く異なる存在だったとディマジオ氏は語る。

「ロシアのハッカーフォーラムで彼が誇示したペルソナは、スーパーヴィランと『スカーフェイス』のトニー・モンタナを足して2で割ったようなものでした」とディマジオは言う。「彼は成功と富をひけらかし、それが時に人々の反感を買うこともあったのです。」

LockBitSuppは、自身のアイデンティティに懸賞金をかけるだけでなく、ハッキングフォーラムでエッセイコンテストを開催したり、LockBitのコードに欠陥を見つけた人に「バグ報奨金」を出したり、LockBitのロゴをタトゥーに入れた人に1,000ドルを支払うと宣言したりと、革新的で突飛な活動を展開した。約20人がタトゥーの写真や動画を投稿した。

法執行機関がLockBitSuppの身元を明らかにしたと発表した直後、ディマジオ氏はホロシェフに関する新たな調査結果を発表しました。彼は入手した情報に加え、オープンソースの情報やダークウェブに流出した情報も活用し、このロシア国籍の人物と関連があると思われるソーシャルメディアのプロフィールや追加の個人情報を発見しました。

「彼はヴォロネジを拠点とする合法的な事業を複数所有しており、メルセデスを運転している。また、彼がよく自慢するランボルギーニではなく、以前はマツダ6を所有していた」とディマジオ氏は調査報告書に記している。制裁対象となったメールアドレスの1つには、ホロシェフ氏名義のロシアに拠点を置くeコマース企業へのリンクが含まれていると、ディマジオ氏は記している。さらに、ディマジオ氏の調査によると、これらの情報には他にも複数のメールアドレスと電話番号が関連付けられていた。

LockBitSuppは、その行動に関する苦情を受けて、1月にロシア語の2つの主要なサイバー犯罪フォーラムから追放されました。「彼らは長年にわたり、パートナー、支持者、嫌悪者、そしてファンを獲得してきました」と、セキュリティ企業KELAの脅威調査ディレクター、ビクトリア・キビレヴィッチ氏は述べています。

キヴィレヴィッチ氏によるサイバー犯罪フォーラムの分析によると、ロシア語圏のエコシステムでは様々な反応が見られ、LockBitが初めて法執行機関に侵入された際には驚きの声が上がった。「LockBitがついに失敗し、当然の報いを受けたと喜ぶユーザーたちが、LockBitの『RaaS』がいかに安全で、他のどのオペレーションよりも優れているかを自慢げに語る発言に言及していました」とキヴィレヴィッチ氏は述べている。

研究者によると、他のフォーラムユーザーはLockBitSuppの技術的な決定や、法執行機関との協力の有無について疑問を呈した。一方、中立的な反応を示したフォーラムユーザーもおり、「ほとんどのユーザーは、今回の作戦はLockBitに大きな影響はなく、今後も継続するだろうと述べていました」とキビレビッチ氏は述べている。

没落

2月にオペレーション・クロノスによってLockBitがオフラインになった後、LockBitSuppはわずか5日で同グループのリークサイトの複製版を作成しました。その後、ウェブサイトには被害者と思われる人物が溢れ始め、世界中の警察がLockBitグループの内部機密情報にアクセスしたにもかかわらず、LockBitグループには影響がなかったかのようでした。

しかし、最近公開された被害者は見た目通りではないと複数の専門家が指摘している。「法執行機関による実際の介入は大きな意味を持っていました」と、サイバーセキュリティ企業NCCグループの脅威情報担当グローバルヘッド、マット・ハル氏は述べている。NCAによると、LockBitの関連会社は2月の摘発以降69社に減少しており、司法省の起訴状ではLockBitの被害者数はそれ以降「大幅に減少」しているとされている。

さらに、LockBitブランドの信頼性は大きく損なわれました。ハル氏は、小規模なランサムウェア関連企業やグループがLockBitから「本格的に距離を置き始め」、他のRaaS事業に参入し始めていると述べています。「大規模なリブランディングや、LockBitの背後にいる個人への忠誠心が急激に変化しない限り、LockBitのような大手企業がこれほどの規模で再び登場することはまずないでしょう」とハル氏は言います。

LockBitSuppに関しては、身元が公表されても好意的に反応するとは思えない。2月にオペレーション・クロノスがLockBitのシステムをダウンさせた際、警察はリークサイトを転用してグループ自体の詳細を公開した。司法省の起訴状によると、システムダウン後、ホロシェフは法執行機関に連絡を取ったが、「競争相手を封じ込めようとしていた」という。

起訴状によると、彼は「RaaSの競合相手の身元に関する情報と引き換えに、自身のサービスを提供した」という。「具体的には、そのやり取りの中で、ホロシェフは法執行機関に対し、要するに『敵の名前を教えてくれ』と要求した」という。法執行機関がホロシェフの名前を公表する前に、ウェブサイトにカウントダウンが表示され、LockBitSuppは多数の被害者を公開することでこれに応えた。

「LockBitSuppには多くの敵がおり、彼の地位を狙う者もいる」とアナリスト1のリサーチャー、ディマジオ氏は語る。ディマジオ氏は、彼らが活動を止める可能性は低いものの、活動を続けるのは困難だろうと付け加えた。「誰も自分のことを知らない方が、悪者でいるのはずっと簡単だ。彼の評判は地に落ちており、そこから立ち直るのは非常に困難だろう」