警察はランサムウェア犯罪集団に対して巧妙な心理作戦を駆使し、集団内に不信感を植え付けて、彼らを闇から出現させようとしている。
写真:ピーター・デイズリー/ゲッティイメージズ
ロシアのサイバー犯罪者はほぼ無敵です。長年にわたり、ロシアを拠点とするハッカーたちは、病院、重要インフラ、そして企業に対して壊滅的なランサムウェア攻撃を仕掛け、数十億ドル規模の損害をもたらしてきました。しかし、彼らは西側諸国の法執行機関の手が届かないところにあり、ロシア当局もほとんど無視しています。警察が犯罪者のサーバーやウェブサイトをオフラインにしても、彼らは数週間以内に再びハッキングを繰り返すことがよくあります。
捜査官たちは今、妨害工作の手法に新たな側面を加えつつある。それは、サイバー犯罪者の思考を混乱させることだ。率直に言えば、彼らはハッカーを翻弄しているのだ。
ここ数ヶ月、西側諸国の法執行機関は、ロシアのハッカーの活動を抑制し、広範囲に広がるサイバー犯罪エコシステムの核心に切り込むための手段として、心理的な対策に目を向けている。こうした初期の心理作戦には、犯罪者同士の限られた信頼関係を揺るがし、脆弱なハッカーのエゴに微妙な亀裂を生じさせ、犯罪者に監視されていることを示す個人的なメッセージを送信するといった取り組みが含まれる。
「組織犯罪組織の核心に迫ることは決してできませんが、彼らの規模拡大能力を低下させることで、その影響を最小限に抑えることができれば、それは良いことです」と、セキュリティ企業Secureworksの脅威調査担当副社長、ドン・スミス氏は語る。「こうした小さなことは、それ自体では致命的な打撃にはならないかもしれませんが、摩擦を生むのです」と彼は言う。「亀裂を探し出し、それを増幅させ、さらなる不和と不信感を生むことで、犯罪者の活動を遅らせることができるのです。」
オペレーション・クロノスを例に挙げましょう。2月、英国国家犯罪庁(NCA)が主導する国際的な法執行機関による作戦が、被害者から5億ドル以上を脅し取ったとされるランサムウェア集団「LockBit」に侵入し、システムをオフラインにしました。NCAの捜査官は、被害者から盗まれたデータを公開していたLockBitのリークウェブサイトを再設計し、LockBitの内部構造を公開しました。
法執行機関は、自らが保有する制御力とデータを示すため、LockBitの管理システムと内部会話の画像を公開しました。捜査官はまた、LockBitの「関連会社」メンバー194名のユーザー名とログイン情報も公開しました。これは5月にメンバーの姓まで拡大されました。
警察の捜査活動では、グループの首謀者である「LockBitSupp」の正体が明らかになったことを示唆し、法執行機関と「連携」してきたと述べた。ロシア国籍のドミトリー・ユリエヴィッチ・ホロシェフは、押収されたLockBitのウェブサイトに数日間のカウントダウンクロックが掲載され、グループの主催者として彼を名指しする大胆なグラフィックが掲載されたことを受け、5月にLockBitを運営したとして起訴された。
「LockBitはブランドと匿名性を誇りとし、何よりもこれらを重視していました」と、NCAの脅威リーダーシップ担当ディレクター、ポール・フォスター氏は述べています。「私たちの作戦は、その匿名性を粉砕し、ブランドを完全に毀損し、サイバー犯罪者が彼らのサービスを利用しなくなるようにしました。」NCAは、LockBitのサイトを再構築しようとしたことにより、同グループがオンラインで広く嘲笑され、かつてLockBitと協力したサイバー犯罪者にとってブランドが「有害」なものになったため、この作戦を慎重に検討したと述べています。
「技術的な混乱だけでは必ずしもLockBitを壊滅させることはできないと認識していました。そのため、国際的なパートナーと連携して、さらなる侵入と制御、逮捕、制裁を行うことで、LockBitへの影響力が高まり、将来的にさらなる法執行活動を行うための基盤が築かれました」とフォスター氏は語る。
LockBitのメンバーがグループの管理システムにログインすると、当局がユーザー名、暗号通貨ウォレットの詳細、内部チャットおよび被害者とのチャット、IPアドレスを収集したという個人メッセージが届きました。サイバーセキュリティ企業Analyst1の研究者が指摘しているように、これらの「心理的戦術」は「ブランドの評判とアクター間の人間関係」という2つの領域を標的としていました。
取り組みはLockBitの閉鎖だけにとどまりません。4月には、ロンドン警視庁がLabHostを閉鎖させました。LabHostは、詐欺師がフィッシングサイトを作成し、ユーザーを騙してメールアドレスやパスワードを盗み出すことを可能にするサービスです。約800人の犯罪的なLabHostユーザーに、警察から「あなたに関するすべてのデータ」を詳述した個別のビデオメッセージが送信されました。被害者を狙った国や、使用されたIPアドレスも含まれていました。「あなたが私たちのサイトにアクセスするたびに、私たちはあなたを監視していました」とビデオのナレーションで語られています。
「これらのメッセージは、犯罪エコシステムの既存の参加者だけに向けられたものではありません」と、セキュアワークスのスミス氏は語る。「参加を決断しようとしている人々に向けたメッセージなのです。」 広大なサイバー犯罪エコシステムの中では、何百万ドルもの金を騙し取ることができる犯罪者同士の信頼関係は希薄だが、分断を強化し拡大することで、効率的な犯罪組織の組織化が困難になる可能性がある。
心理作戦がどれほどの影響を与えるかを把握するのは難しいが、研究者たちは犯罪者は常に監視していると指摘する。NCAによると、LockBitの関連会社194社のうち、2月の法執行措置以降、プラットフォームに戻ってきたのはわずか69社だ。ハッカーたちはニュースやサイバーセキュリティ研究を読み、ロシア語のサイバー犯罪フォーラムで議論していると研究者らは述べている。サイバー犯罪のアンダーグラウンドを監視するセキュリティ企業KELAの脅威調査ディレクター、ビクトリア・キビレヴィッチ氏によると、XSSフォーラムには「Juicy arrests(ジューシーな逮捕)」というスレッドが1つあり、2017年以降1,000件以上の投稿があるという。
LockBitの閉鎖については、XSSユーザーの間で意見が分かれているとキビレビッチ氏は語る。2月のある投稿では、あるサイバー犯罪者が、なぜその時点でグループのリーダーの名前が公表されず、処罰も受けていないのかと疑問を呈していたという。ある投稿の翻訳版には、「彼らはそれだけの情報を持っている。少なくとも彼について何か知っているはずだ。あるいは、彼は彼らと共謀しているのかもしれない」と書かれている。別の投稿では、この状況をネタにミームを作ったり、ジョークを飛ばしたりしないよう促し、「いつかあなたにも影響が出るかもしれないということを理解してください」と綴っていた。
キヴィレヴィッチ氏は、フォーラム上のサイバー犯罪者が法執行機関による一部メンバーへの攻撃に幻滅したり不満を抱いたりした他の事例を挙げている。2023年2月にランサムウェア集団「コンティ」と「トリックボット」のメンバーが制裁を受けた際、LockBitSuppはトリックボットのリーダー「スターン」と他の著名人「バディー」への制裁はどこにあるかと質問した。WIREDがメンバーの1人を公表した数日後の2023年9月、さらにコンティとトリックボットのメンバー11人が制裁を受けた際、あるサイバー犯罪者は制裁対象者の中には「これまで目立った経歴がない」人もいると不満を漏らした。彼らはさらに「不公平」だと感じ、「ビジネスでほとんど決定権を持たないクソマネージャーを加える意味は何だったのか」と訴えた。
犯罪行動と警察の介入を専門とするセキュリティ企業GoSecureのリサーチディレクター、アンドレアンヌ・ベルジェロン氏は、一部の犯罪者を公表し、他の犯罪者を公表しないことには二つの結果が考えられると述べている。公表された犯罪者は「自分は罰せられる一方で、他の人は放っておかれるのは不当だ」と感じ、結果として法執行機関に協力したり、協力したりする可能性がある。
ベルジェロン氏はまた、悪意のあるハッカーはしばしば自分の行動に対する「承認を渇望」すると述べている。「たとえ制裁を受けることになっても、同僚が全ての『功績』を与えられると、匿名のハッカーたちは承認を得るために自らを明かさざるを得なくなるのです」とベルジェロン氏は言う。「承認されたいというこの欲求は、彼らを危険な行動に駆り立て、承認を得るために当局に自らの正体を明かす可能性さえあります。」
法執行機関は、より伝統的な技術的テイクダウンや制裁に加えて、心理的な戦術も用いているかもしれないが、サイバー心理学が犯罪的なハッカーを阻止する方法を研究する科学的研究も行われている。米国情報機関の研究機関である情報高等研究計画局(IARPA)は、攻撃者の人間的弱点を突くことで新たなサイバーセキュリティ防御を構築するプロジェクトに着手した。
心理学はサイバー攻撃者の行動を「理解し、予測し、影響を与える」手段として活用できると、このプロジェクトを率いるIARPAプログラムマネージャーのキンバリー・ファーガソン=ウォルター氏は述べている。まだ初期段階にあるこの研究では、確立された心理学の原則に基づき、サイバー犯罪者の人間的な弱点を突くツールや手法の構築を目指している。例えば、攻撃者がシステムに侵入する際に安全だと感じさせることができれば、より危険な行動に出て、自らの身を危険にさらす可能性が高まる。
「もし誰かが自社のネットワークへの攻撃を阻止できれば、それ以上のことはありません」とファーガソン=ウォルター氏は言う。「防御の仕組みについて相手が不安を感じたり、確信が持てないほど、攻撃を阻止できる可能性は高まると思います。」
受信箱に届く:ウィル・ナイトのAIラボがAIの進歩を探る
マット・バージェスはWIREDのシニアライターであり、欧州における情報セキュリティ、プライバシー、データ規制を専門としています。シェフィールド大学でジャーナリズムの学位を取得し、現在はロンドン在住です。ご意見・ご感想は[email protected]までお寄せください。…続きを読む
