DarkWebへのアクセス４

今回は「Ransomware Gang / ランサムウエアギャング」について語りたいと思う。
それを語るには、先ずは2020年11月、日本のゲームソフト企業㈱CAPCOMがRagnar_Lockerなる「Ransomware Gang/ランサムウエアギャング（以後、ランサムギャングと呼称）」に襲撃された事件から振り返りたいと思う。

当時、「二重恐喝」という極めて執拗で悪辣な手法を用いたサイバー攻撃に呆れると共に、個人的には㈱CAPCOMの株主であった都合も相まって、怒りと好奇心が半々のワタスは、久し振りにDarkWebに潜り調べてみたい衝動に駆り立てられていた。
とは言うものの、調べてみようと思ったところで日本のメディア報道やネットからは、手掛りと言える情報をいっさい入手できない有様であった。情報鎖国状態に等しい日本に怒りさえ覚えたことは忘れられない。致し方なく、欧米のネットを片っ端からサルベージしてみたところ、同年4月にRagnar_Lockerからサイバー攻撃を受けた欧米企業の調査リポートを発見。そこには連中がロシア語圏のPCには攻撃を行わない仕組みを用いていることやランサムノートに記述されている内容等についての詳細が事細かに述べられていたのである。

そこから入手した情報より、連中が当初、使用していたランサムノートに記載のあった（奴らの）連絡先であるprotonメールアドレス宛にワタスのprotonメールアドレスからメッセージを送信してみたのである。そのメールには、彼らを褒めちぎり、そのスキルの高さを大絶賛する文言で埋め尽くしておいたのであるが…。
その結果、メール送信をしてから約7時間後にワタスのprotonメールアドレスへメールが着信したのである。因みにこのワタスのprotonメールアドレスは、日常使用することのない特別なもので着信するメールと言えばせいぜい「protonメール」から送られてくるセールスメッセージでくらいしかなかったのだが…。そのメールアドレスへ突然のメール着信である。此処で重要なのは「ワタスが送信したRagnar_Lockerのランサムノートに記載のあったprotonメールアドレス」からの返信ではないということである。送信されてきたメールは、Outlookメールを用いていており、実在する企業名を用いていたので社名は当時から伏せているが、調査が完了した時点でRagnar_Lockerランサムウエアを用いたサイバー攻撃の実行者の検挙に繋がる参考情報として当局へ提供したいと考えている。まあ、それをするにしても報酬が得られる場合に限って提供しようと欲深いことを考えて既に4年が経過しているのだがｗ

ワタスの悪い癖で、少々話が横道に逸れてしまいがちになるが、昨年10月にRagnar_Lockerのコードを書いたと言われるチェコ人プログラマーがパリで逮捕されている。ワタスが思うに彼は道具屋でしかなく、攻撃をデザインし実行するオペレーターでは無かったと推察している。そう、サイバー攻撃を繰り返しながら富を得ようとするサイバー犯罪集団らは、今後とも分業化が進んで行く方向性にあるわけです。ランサムウェア本体をコーディングしたり、感染させる目的のマルウェアを開発したり、感染させた以降の横展開を可能にするツールを作成したり、強奪した身代金のロンダリング専門のグループであったりと、リアル社会に存在する麻薬カルテルさながらのサイバー犯罪のカルテル化が進んで行くと予想している。結局のところ、ランサムウエアを用いてサイバー攻撃を実行する連中のほとんどが逃げ仰せ捕まっていないのだ。今年に入ってからも国際共同捜査により壊滅したかに見えた別のランサムギャングであるLockBitも然りである。

さて、話を元に戻すが、ワタスにメッセージを送ってきた者のメールヘッダー情報から送信者のメールアドレスが偽装されていないことは確認済で、それはロンドン、正確には世界標準時間帯からの送信であった。ワタスはその送信者を「ロンドンboy」と名付け管理することにした。それ以降、約１ヵ月間に及ぶ文通を続けることになるのだが、その「ロンドンboy」は、彼のメールの文脈から推察するに20歳前後の活気に満ち溢れた上昇志向の高い若者のように思われた。そして、その上司と語る二人の人物からのメールも北米とインドから一回ずつ着信していた。何れもヒンディー語系の名前でありインド人と思しき者達であった。

ここで首をかしげたくなることがある。Ragnar_Lockerをはじめとするランサムギャングの多くはロシア系、いわゆる旧ソビエト連邦にルーツを持つ者たちによって組織され運営されているサイバー犯罪ギャングであると定義されていることだ。その状況証拠として旧ソ連圏内で使用されいている言語を使用するPCへの感染活動は自動的に停止する仕組みが取り入れられていることや、ソースコードの中にロシア語の記述があったり、DarkWebにある犯罪者フォーラムでもロシア語を使用する連中の存在がある。日本のメディアもランサムギャングのニュースを流す際には、その多くがロシアだロシアだと喧しい。ワタス個人としては、ロシア領内という西側諸国の警察の手が及ばない彼らにとっての安全地帯からのサイバー攻撃であるかのような日本メディアの報道が的を得ているものなのか甚だ疑わしいと思っている。

近い将来、しかるべき機関へ「参考情報」として提供する準備を進めているので、その多くを語ることは控えたいのだが、2020年以降、個人的に収集した情報から推察するに、民間レベルと言うべきかサイバー犯罪者同士と言うべきか迷いつつも、ロシア人とインド人の結びつきは私たちが考えている以上に活発で強いと思わざるを得ない。現在、ロシアはウクライナと戦争を戦っているのだが、インド人義勇兵の多くがロシア軍側に加わって戦っているとの情報もある。もともとインドにはグルカ兵という精強な傭兵のシステムが存在していて、英国軍に所属している者も多い。サイバーの世界でも”ロシア側”に参加している連中が極めて高い確率で存在していると考えている。また、ロシア系サイバー犯罪者の多くは高学歴であり、そのほとんどが経済的に豊かな西側社会のような豊かな生活を志向していて、サイバー犯罪の成功者たちの多くが、ロンドンやオランダ、ベルギー、フランス・パリなど西側社会を生活圏にしている者たちが多いと考えている。

ワタスと文通をした「インド系英国人」と思しき「ロンドンboy」からのファーストコンタクトは、「私たちに関心をお寄せ頂きありがとうございます。最近、私たちの詳細を知りたいとの問い合わせをいただいた件につき・・・」から始まり、①自分達は50人からなるプロフェショナル集団であること。②自分達はウェブサイトのデザインと開発（ASP、ASP.NET、Java、Perl、PHPの開発）に主に焦点を当てたウェブデザイン企業であること。③私たちは貴方に高品質の製品の入手を保証すること。④海外のほとんどの企業は、業務の一部、または全てを当社へアウトソーシングしていること。主にこのような内容のメッセージを突然送り付けて来ていた。

当時、この「ロンドンboy」との文通で、もしかしたら彼は英国の警察関係者ではないかという疑念を抱いたこともあった。理由は単純明快だ。過去の犯罪で使用された「犯罪者が使用していたprotonメールアドレス」が押収されず野放しにされているはずもないという理由からだ。私のprotonメールアドレスから送信したメールが、押収済の犯罪一味のメールアドレスに着信していたとすれば、当然のこと捜査機関の捜査官がそれを目にするはずだからである。とはいえ、英国ロンドン、北米中部山岳時間帯、インド国内の3か所から私にメールを送信する必要性が捜査機関にあるのか？についても疑問が残ろう。

ということで、㈱CAPCOMを攻撃した時のランサムノートに記載があったであろう連絡先がどうなっていたのかが知りたいところなのだが、日本の警察やセキュリティー関係者は情報開示を一切していないのでそれは不明である。

最後に、このRangar_Lockerは昨年の10月に国際共同捜査によってリークサイトは押収され、事実上、現在の活動は休止している。
当時、㈱CAPCOMを攻撃した際の彼らからは、有名になりたい！俺たちはジーニアス！といった勢いを感じていた。その証拠に、2021年3月頃まではDarkWebにある彼らのリークサイトの最上部には、Our Domainsと4つのアドレスの記載があった。本来ならば、自分たちの素性を隠し通したいはずの犯罪者一味が、俺たちのドメインだぜ！と言わんばかりに自ら披露していたのである。
そのドメイン4つを最後にご紹介して結びとしたい。
①rgleak7op734elep[.]onion
②rgleakt～省略.onion
③p607m73uja～省略.onion
④ragnarleaks.top
恐らく4つの小グループが一つに合併した結果のRagnar_Lockerであったのであろうと推察できる。また、④のドメインは面白いものであった。現在は未使用状態であるが、TLDが[.top]であることは実に興味深いものであり、そのドメインから芋づる式にLockBitとの繋がりを見出すことが出来たのであった。次回は簡単ではあるがLockBitとLockBitSuppについて語ってみたいと思う。