【情報処理安全確保支援士】RaaSの脅威について考える（その３／全４回）：「サイバー犯罪集団とRaaSの仕組み」

上のグラフは2022年2月11日にDarkTracerのTwitterで公開されたものです。

DarkTracerを運営しているのは日本の企業で、「ダークウェブとディープウェブの脅威インテリジェンスに特化したSaaSタイプのサービス」を提供しています。

グラフでは縦の数字が「攻撃された企業の数」で、各サイバー犯罪集団別に集計されており全部で62のグループが記載されています。

半年前にも同様のグラフが公開されましたが、半田病院を攻撃したとされる「LockBit」は半年間で394件も追加されて一気に勢力を伸ばしてきています。昨年までトップ集団だった「Revil（レビル）」は2021年6月に突然活動を停止し公開していたダークウェブも消えました。その後、アメリカからの要請によりロシア連邦保安局が捜査に動き2022年1月に摘発され壊滅しています。

そして、これらサイバー犯罪集団の9割以上はロシアを拠点にしていると言われています。一つ一つはただのブランドに過ぎず大元は一つの組織であるという見方もあり、一つの集団が壊滅しても技術やシステムを受け継いだ新たな集団となって出てくる可能性も否定できません。

犯罪者集団にも特徴があり、例えばカプコンを攻撃した「Ragnar Locker」や「Revil」は要求や交渉に応じなかった場合は自身のダークサイトに情報を公開する暴露タイプですが、半田病院を攻撃した「LockBit」は全く返答の無い企業に対してはそのまま放置されるケースが多く、半田病院のデータもネットで公開されたという事実は確認されていません。

アフィリエイターはRaaSのユーザーであり企業へのサイバー攻撃を行う実行犯です。

アフィリエイターはRaaSを利用するための初期契約費用を支払いランサムウェアや必要な攻撃ツールを購入し、それらを使って攻撃対象のネットワークへ侵入し機密データの窃取やランサムウェアを感染させてデータを暗号化した上で企業へ脅迫を行います。

被害が発覚して脅迫文を確認した企業は選択を迫られます。

身代金を支払えば高い確率で復号鍵を入手することができシステムを早急に復旧することが可能ですが、要求に応じなかった場合は自力で復旧する必要があり、流出したデータがダークウェブ上で公開もしくはオークションに掛けられることもあります。

企業によってはシステムが止まってしまうと一日あたり数千万円の損失になり、復旧期間によっては全体の損失が数十億と算出されるケースもあります。そういった状況の中で身代金を支払った方がダメージを最小限に抑えられると判断して犯人の要求に応じてしまう企業もあります。

近年ではランサムウェア等を使ったサイバー攻撃が頻繁に発生するようになり、保険会社からサイバー事故により企業が被った損害を補償する商品も販売されています。アメリカ等ではランサムウェアにより身代金を支払った場合にも適用されるものがあります。

ランサムウェアギャングやアフィリエイターが違法に入手した仮想通貨は闇換金所を利用して洗浄されます。ビットコインなどの仮想通貨は追跡されやすくそのままでは利用できないため7～8割の換金率を提示して洗浄されているようです。

以前、コインチェックから流出したビットコインがマネーロンダリングされた際、個人が違法な資金洗浄と知りながら利益を得るために換金に応じて犯罪に加担するケースもあったということです。