国務省はハッキンググループの主要メンバー5人についての詳細情報を共有するよう呼びかけている。
写真:ジャスパー・ジェームズ/ゲッティイメージズ
2020年にContiランサムウェアが出現して以来、その運営者は世界中で大混乱を引き起こしてきました。彼らはこのランサムウェアを利用して、病院の機能を麻痺させ、政府を攻撃し、無数の企業から金銭を巻き上げてきました。これらの犯罪的ハッカーたちは1,000以上の組織を標的とし、昨年だけで1億8,000万ドル以上の利益を上げました。現在、米国政府はこのグループへの対策を強化しており、初めてメンバーを特定し、ロシア政府との潜在的なつながりを明らかにしようとしています。
本日、米国務省内で国家安全保障関連の報奨金を担当する組織「正義のための報奨」ミッションは、コンティ・グループの個々のメンバーに関する有用な情報を提供した者に対し、最大1,000万ドルの新たな報奨金を支給すると発表しました。具体的には、コンティ・グループの主要メンバー5名、Professor、Reshaev、Tramp、Dandis、Targetというハンドルネームを持つ人物に関する情報の提供を呼びかけています。
報酬のための正義は、ターゲットとみられる人物の写真も公開した。写真には、耳当て付きの帽子、黒いTシャツ、そして濃い色のジャケットを着た中年男性が写っている。コンティ・ギャングのメンバーの実在の身元が公に明らかになったのは、これが初めての事例の一つである。
イラスト:司法への報奨金/米国国務省
「米国政府がコンティの工作員を公に特定したのは本日が初めてです」と、匿名を条件にターゲットの身元について写真以上の情報は提供しなかった国務省関係者は述べた。「この写真は、米国政府がコンティと関係のある悪意ある人物を特定した初めての事例です」と彼らは述べ、人物の名前から実際の所在地、休暇や旅行の計画に至るまで、幅広い情報を探していると付け加えた。(ロシアを拠点とするサイバー犯罪者の多くは、逮捕を恐れて海外渡航を避けている。)
国務省からのこの異動は、ランサムウェアの世界におけるコンティの極めて危険な役割を象徴している。ウィザード・スパイダー、あるいはより広範なサイバー犯罪シンジケート「トリックボット」の一員としてしばしば知られるこのグループは、他の中小企業と同様に運営・組織されている。今年初め、コンティがウラジーミル・プーチン大統領によるウクライナへの全面侵攻を支持した後、ウクライナのサイバーセキュリティ研究者が6万件の内部メッセージを公開し、コンティの内幕が暴露された。この漏洩情報は「コンティ・ファイル」と呼ばれている。
コンティとTrickbotグループは100人以上のメンバーを抱え、それぞれが個別の部署で活動していると考えられています。流出したチャット内容によると、彼らは休暇を要求し、定期的に報酬を受け取り、被害者への恐喝の手口はプロフェッショナルです。さらに、グループが暗号通貨決済プラットフォームの開発を試みていたことも明らかになりました。コンティが今年初めにコスタリカ政府を攻撃し、3万件以上の医療予約を妨害した際には、別途1,000万ドルの報奨金が設定されました。
「正義のための報奨プログラム」は、米国全土の他の報奨プログラムとは別個のプログラムであり、外国による選挙介入や北朝鮮のハッキンググループといった国家安全保障問題に焦点を当てています。「コンティ氏は国家安全保障上の脅威とみなされています。なぜなら、我々は彼が外国政府と関係していると考えており、それを裏付けるためのさらなる情報を求めているからです」と国務省関係者は述べています。「彼らは我が国の重要インフラに対する悪意のあるサイバー活動に関与してきました。我々は彼らを国家安全保障上の脅威と見ています。」
Contiのメンバーの多くは、ロシアまたはその周辺地域を拠点としていると考えられています。長年にわたり、クレムリンはロシア国内に拠点を置くサイバー犯罪者をほぼ黙認しており、ロシアは複数のランサムウェアグループの拠点となっています。漏洩したConti Filesによると、同グループの幹部メンバーの一部はロシア政府および治安機関と繋がりがあるようです。グループのメンバーは、「政治的」なテーマに取り組んでいることや、ロシアのハッカーグループCozy Bear(別名Advanced Persistent Threat 29)のメンバーと知り合いであることなどを語っていました。
「コンティは、外国政府とのつながり、特にロシア政府への支援を公に認めています」と、サイバー国家ミッションフォースの広報担当者であるカトリーナ・チーズマン米空軍少佐は述べています。「コンティとのつながりやその他の指標に基づくと、ウィザード・スパイダーとして知られる組織犯罪グループの指導者は、ロシア国内の政府機関とつながりを持っている可能性が高いと評価されています」とチーズマン氏は付け加えました。
3月初旬にコンティファイルが流出して以来、複数のサイバーセキュリティ企業が文書を精査してきました。セキュリティ専門家によると、報奨金プログラムの情報提供要請に含まれ、Trickbotにも関与しているプロフェッサーは、ランサムウェアの展開の大部分を監督し、作戦における「重要な役割を担う人物」であると考えられています。また、コンティグループのアクターが使用する複数のオンラインネームが、実際には同一人物を指している可能性も指摘されています。
コンティファイル以外にも、サイバー犯罪シンジケート全体から漏洩した情報があります。今年初め、「Trickleaks」と呼ばれるTwitterアカウントが、Trickbotのメンバーとされる氏名と個人情報を投稿し始めました。この情報は独立した検証は行われていませんが、少なくとも部分的には正確であると考えられており、メンバーとされる人物の写真やソーシャルメディアアカウント、パスポート情報などが公開されています。
サイバーセキュリティ企業Mandiantの金融犯罪分析担当シニアマネージャー、ジェレミー・ケネリー氏は、ランサムウェア集団による金銭授受や企業への攻撃を阻止するために、ContiとTrickbotに対する継続的な対策が「極めて重要」だと述べています。「主要人物の匿名性を剥奪し、懸賞金を設定し、不正資金を押収し、意図を公に表明することは、ランサムウェア攻撃に関わる実際のリスクと認識されるリスクを高める上で重要な措置であり、最終的には一部の犯罪者や組織に萎縮効果をもたらす可能性があります」とケネリー氏は述べています。
Rewards for Justiceの関係者は、Contiのメンバーに関する情報提供の呼びかけを複数の言語で発信し、Torリンク経由で連絡を取るよう呼びかけている。提供された情報はすべて検証され、報酬が支払われる前に複数の手順を踏む必要がある。理論的には、1,000万ドルの報奨金が複数回支払われる可能性もあると関係者は述べている。関係者は特にロシア語圏のオンライン空間をターゲットにしており、報奨金の詳細はロシアのソーシャルネットワークVKとハッキングフォーラムに投稿されるという。
ここ数週間、Contiの活動は縮小傾向にあります。これは、内部チャットの漏洩を受けて、グループがリブランディングを試みていると考えられているためです。しかし、メンバーの多くは依然として活動を続け、他のサイバー犯罪活動にも関与していると考えられています。このようなランサムウェア攻撃は、企業や社会全体に甚大な影響を及ぼす可能性があります。
「これらは国家支援を受けたグループではありませんが、国家レベルのグループと同等の影響力を持つ攻撃を日常的に実行しており、そのように扱う必要があります」と、ランサムウェアを専門とするセキュリティ企業Recorded Futureのアナリスト、アラン・リスカ氏は述べています。「コンティのメンバーがロシア国外に足を踏み入れるほど愚かでない限り、今回の報奨金で逮捕される可能性は低いでしょう。この報奨金を通じて得られる情報は、非常に貴重なものとなる可能性があります。」
マット・バージェスはWIREDのシニアライターであり、欧州における情報セキュリティ、プライバシー、データ規制を専門としています。シェフィールド大学でジャーナリズムの学位を取得し、現在はロンドン在住です。ご意見・ご感想は[email protected]までお寄せください。…続きを読む
