見出し画像

Ragnar_Locker CAPCOMランサム攻撃(其の三)

徒然なるまま

CAPCOMをサイバー攻撃したラグナロッカーについて一つのアクションを試みてみた。

ラグナロッカーの連絡先と思しきProtonmailのアドレスへメールを送信してみたのである。私から発したメッセージは、主に次の三点だ。

1.ラグナロッカーチームが高い技術力を有していること(褒めちぎっておいた)(笑)

2.少しでもラグナロッカーについて知りたいということ。

3.私は日本人であること・・・である。

どうしてそうしたのか?というと「Ragnar_Locker CAPCOMランサム攻撃(其の一)」で述べたように、ラグナロッカーのメンバーに”若さ”を感じ取っていたからだ。もしかしたら反応があるかも知れないと期待したのである。

さて、メールを送信した結果を述べる前に、その連絡先情報をどのようにして入手したかについて簡単に説明しておきたいと思う。

ラグナロッカーについて探っていたところ、マルウエアガイド(MG)というサイトに目がとまったのがきっかけであった。リンクを踏んでも大丈夫なようなので、各々の責任において自由に確認して頂ければよいと思う。但し、個人のホームページなのか、経営母体としての企業が存在しているのかについては、ホームページから確認できない。怪しいと言えば怪しい香りがしないわけでもないサイトであることはお断りしておきたい。体裁はシンプルで分かりやすくなっており、その豊富な情報量はインターネット宗主国アメリカの層の厚さを思い知らされる内容である。そう、当該サイトは北米にある。問い合わせ先のメールアドレスは「greatideacompany@gmail.com」との記載があるのだが企業情報等を確認することはできない。そして、あまり評判のよろしくないフリー(無料)のセキュリティーソフトがダウンロード可能になっている。セキュリティー詐欺?の可能性を含み置き頂きたいと思う。そして、”SpyHunter”という無料ソフトのダウンロードはお勧めしない。”見つめるだけ”にとどめ置くようお願いしたい。

簡単に説明するつもりで前置きが長くなってしまったが、当該サイトにラグナロッカーの連絡先について記載があったのである。それは2020年の2月にアップされた記事の中である。

記事によると、ラグナロッカー被害者端末のディスクトップに作成される身代金メモに、2通りの連絡先が記載されているとのことであった。

 1.「qTOKメッセンジャー」というアプリを介しての連絡。(これもまた少々厄介なのだが後日談としたい。)

 2.「XXX_pse◇◇@protonmail.com」(一部伏字)による連絡。

以上から上記のプロトンメールに対し、リサーチ用に作成してある私のプロトンメールアカウントから連絡を試みたのである。

結果はどうであったかというと、返信という形態を用いず、Outlookアドレスを用いた怪しいメールが送りつけられてきたのである。私がメールを発信してから約7時間後の出来事である。

何故?怪しいと判断したかというと、私のプロトンメールアカウントはリサーチ用のTwitterアカウントの開設目的(コミュニケーション目的ではない)に限定されており、その他の個人や組織等への連絡手段として一度たりとも使ったことがない。これまでもTwitterやプロトンメールからのセールスがたまに着信していただけであったのだが、ヒンズー語系の名前(イニシャルA.M)を語る個人からMicrosoftのoutlook.comメールでそれは着信したのである。

メールの詳細については割愛させていただくが、私が予想していた通りのものであった。若さみなぎる上昇志向の若者が筆を執ったような前向きで積極的な、そして若干、一方的で息苦しさを感じるような米国流の自己紹介と自己アピールのようであった。要約すると・・・

1.自分たちは50人からなるウェブサイトのデザインと開発(ASP、ASP.Net、Java、Perl、PHPの開発等)のプロ集団である。

2.貴方が高品質の”作品”を手にすることを可能にする(約束する)。

3.多くの海外企業が自分たちにアウトソーシングしてきていることで大幅なコストダウンを可能にしている。

4.貴方(の会社?)と一緒に働く機会を与えて欲しいことと、驚くほどの成果を共有できる。

・・・とのことであった。

このA.Mが手掛かりに繋がる人物なのか、それとも本当に稀なケースで、たまたま見当違いなセールスのダイレクトメールが着信しただけなのかは分からない。何れにせよヘッダー情報に目を通してみることにした。すると・・・

このA.Mからのメールヘッダー情報と、そこから推察した内容については次回に細かく述べさせて頂きたいと思う。現在、既にA.Mの上司を匂わす、自称ビジネス責任者Sを名乗る人物からビジネスメール詐欺を疑うようなメールが着信しており、そちらの検証も進めなければならない。何れもメールアドレスの偽装はないが、A.Mとその上司Sを語る二人の関係性が全く掴めないのである。部下と上司、ビジネスパートナーであれば関係性が見えてきて当然なのだが、一切それが見えない、二人とも完全にスタンドアローンなのである。そうこうしている内にInstagramアカウントからInstagramメールが着信。6人を指定してフォローしろ!との命令形である。

「いよいよ盛り上がってまいりました~」と、半ば少年のように小躍りしたのもつかの間、Instagramのアカウントが無いことに気付き、慌ててリサーチ用プロトンメールアドレスでInstagramアカウントを開設。とりあえず名古屋城を訪れた時の写真を掲載して取り繕ったところである。勿論、命令形で指定された6人(気後れしそうなぐらいの美女5人とK1ファイターのようなゴリラ男1人)をフォローしての様子見である。こちらのInstagramメールもヘッダー情報を保管。スパムではないようである。

今回、ラグナロッカーの連絡先として指定したメールアドレスは、CAPCOM宛のメッセージに記載されていたものと同じであるかは不明である。CAPCOM以外の外国企業の被害者が受け取ったであろう身代金メモに記載があったものであろう。よって、私が送信したメールがCAPCOMを攻撃した攻撃者へ届いたかは定かではない。

また、インスタグラムメールで送信されてきた「フォローをしろ!メール」についても予見し得るエピソードがあるのだが、長くなるので後日談としたいと思う。

今後とも更に工夫を施しソーシャルエンジニアリングを駆使しつつ突っ込んで調べていきたいと思う。

この記事が気に入ったらサポートをしてみませんか?