DarkWebへのアクセス5

開示することにより不都合が生じるであろう企業や個人の特定に繋がる情報は一切語りません。
これだけは最初に述べておきたいと思います。

以前、2020年10,11月頃に㈱CAPCOMをサイバー攻撃したRagnar_Lockerについて語ったことがありますが、当時からこれまでの約3年半に渡り個人的にランサムギャング（ランサムウエアギャング）について調査した結果、何となくではありますが分かったことや洞察できたことが山盛りあります。

1.DarkWebに巣食うサイバーギャングらは、大なり小なり裏で繋がっていること。

2.Ransomwareの開発と製造は、その多くは旧ソ連圏出身者の人々によって組織されたグループが中心になっているものの、その他の地域の人々の参画を排除したり否定するものではない事。

3.Ransomwareはサイバー兵器としてのポテンシャルを有していること。使用目的がシステムの破壊のみに絞られた場合、金銭目的による使用と比べ極めて厄介な存在になり得ること。

4.サイバー犯罪者の行動は、手段としての不正アクセスと、目的としての情報資産の窃取に大別されている事。

これを言うと、いや金銭目的ではないのか？と思われる方が多いかも知れませんが、彼らの多くは、いや、ほぼ全てが、サイバーギャングであると同時に技術屋集団であり、そのスキルの向上と自己承認欲求の塊のような者が圧倒的に多く、結果的に技術使用料として金銭の授受がそこにあるだけという捉え方をした方が実態に最も近いように思います。

例えばLockBitの中心メンバーと思われるLockBitSuppは、明確に「securityの向上に向けた啓蒙活動への正当なる対価だ」と、情報資産の身代金要求を正当化していました。

5.一方で、RaaSを導入した行為は、明らかに営利目的のビジネス化であり、一般の企業活動と同じものだと思います。故に、彼らと契約をするアフィリエイトと言われる攻撃者もまた金銭や情報資産の窃取のプロセスに必要なスキルの習得や向上があって初めて金銭の授受が結果としてついてくる形なのだと思います。そこにはサイバー攻撃のスキルの習得と向上が最優先で、結果として技術料としての金銭の授受があるだけなんです。故に攻撃者の多くは検挙されていません。

これらは、LockBitSuppとP2Pを介してコミュニケーションする過程で強く感じたことです。彼？は、「私はあなたのことを知らない！」と困惑していたようですが、日本人らしからぬズケズケと主張する私に呆れていたかも知れません。因みにLockBitSuppアカウントは、少なくとも３つ程の別人格が存在していたように感じます。

また、彼？との会話で一つ分かったことがあります。
それは、徳島県の半田病院をサイバー攻撃したマルウエアがLockBitであったと言われていますが、その事を彼は把握していなかったということです。おそらくこのランサム攻撃は、彼らのビジネスモデルであるRaaSによるものではなかった可能性が高いと私は見ています。

このことから何を洞察するかは私達の問題であると思います。
一つだけ言えることは日本国内の企業に対するLockBitを用いたサイバー攻撃に限定して言うならば、彼らのRaaSビジネスは上手く回っていないという事です。
彼らのRaaS全体の費用対効果を鑑みれば、”売上単価”が比較的高額な為に、見逃されがちな問題なのかも知れません。一般のビジネスに置き換えてみると、著作権侵害とか生産性の問題として検討されるべき課題が山積しているのではないかと推察しています。

ここでは日本でのランサムウエア攻撃について語っておきたいと思ったのですが、少々回りくどい言い回しになってしまいましたが、日本国内の企業を標的にしたRaaSによる攻撃はビジネスとして成功していない。結果、欧米諸国のような大きな被害に及ぶことは今のところ無いのだと考えています。それは「言語の壁」が厳然たる事実として立ちはだかっているからだと考えています。
前述した㈱CAPCOMの攻撃にしても、大阪にある本社は最後の最後に影響を受けましたが、Ragnar_Lockerの連中は、英国拠点を侵害し、そこを橋頭保として北米拠点へ横展開を成功させ、最終的にそれら侵害を検知した大阪本社が影響を受けたという全体像があります。大阪本社も無傷ではなかったのはビジネスにおいて英語を活用していたからと考えています。

6.サイバー攻撃を行うアクターは、財務情報、人事情報、営業（機密）情報の三つの情報窃取を最優先に行うこと。彼らのルーツがサイバースパイにある状況証拠だと私は診ています。

7.本来の身代金という金銭目的でランサムウエアを用いたサイバー攻撃を実施する攻撃者は、RaaSを利用している。

8.情報資産の窃取を目的としたサイバー攻撃を実施し、ある特定の情報窃取が目的であることや具体的にどの情報を窃取したか、或いは窃取しようとしたかの調査や分析を混乱さる目的でランサムウエア攻撃に偽装するオペレーションが存在していること。

9.2016年当時より、ロシア（+旧ソ連圏含む）・中国・インド・韓国・タイ・インドネシア・トルコあたりになると思いますが、サイバー犯罪グループが活動している。
徳島県の半田病院に続いて被害を受けた大阪の急性期病院へのサイバー攻撃は、ランサムウエアPhobosの亜種である「Elbie」であったと言われています。これらは韓国国内で出現したマルウエアで、普通に考えれば政治的に対立している北朝鮮からの攻撃と思われるかもしれませんが、私は韓国国内に端を発するグループによる犯行と診ています。日本国内のElbieを用いたサイバー攻撃のほぼ全てが韓国と日本国内を根城にする、且つ、日本語に堪能なサイバー犯罪グループに起因する犯行だと思います。但し、メンバーは多国籍です。中国や旧ソ連圏のメンバーもいるかも知れません。

10.上記の9で述べた国や地域別のサイバー犯罪グループは、中華製ネットワークゲーム内でそれぞれグループを形成してコミュニケーションを図っていました。今はどうだかわかりませんが、2016年当時は活発に烏合離散を繰り返していたように思います。

随分と長くなってしまいましたので今回は一旦、ここで切りたいと思います。
今回、ここで述べたことはほんの一部でしかありません。他にも多くの情報や洞察を得ることができましたが、一回では語ることは出来ません。
今後、インドのサイバー犯罪グループが台頭してくると個人的には予想しています。また、インド政府の後ろ盾を得たサイバーグループの顕在化と認知が可能になるかも知れませんとだけ述べておきたいと思います。