サイバー攻撃でシステム障害が引き起こされ、さらに社内データを“人質”に取ったハッカー側に多額の身代金を要求される──出版大手KADOKAWAが被害に遭って注目を集める身代金ウイルス「ランサムウェア」。それを駆使するハッカー集団の手口とは。国際ジャーナリストの山田敏弘氏がレポートする。
* * *
ニコニコ動画などを運営するドワンゴとその親会社であるKADOKAWAグループの内部サーバーがランサムウェアに感染し、動画サービスなどが提供できなくなったのは6月8日のこと。1か月以上は復旧できないと発表され、配信者らへの莫大な賠償などが発生する可能性がある。
ランサムウェアの攻撃者は、ターゲットの組織のネットワークに何らかの形で侵入。身代金(ランサム)を要求するマルウェア(不正なプログラム)を感染させ、パソコンやサーバーを勝手に暗号化して内部データを使えなくする。その上で、画面にメッセージを表示し、元通りに復号したければ身代金を暗号通貨などで支払うよう要求する。
さらに攻撃者はネットワークに侵入した際に組織内部の書類やデータなどを大量に盗んでおいて、身代金を払わない相手には内部データをインターネットで公開すると脅す二重恐喝を行なうのだ。
払わなかったら負担は10倍
KADOKAWAのランサムウェア感染をめぐっては、ウェブメディアのNewsPicksが6月22日、同社がサイバー攻撃者に約4億7000万円相当の身代金を支払ったと報じた。
攻撃者と交渉をしている段階の報道にKADOKAWAは猛反発し、「犯罪者を利するような、かつ今後の社会全体へのサイバー攻撃を助長させかねない」と声明を発表。「損害賠償を含めた法的措置の検討を進めてまいります」と非難した。
ランサムウェアに感染した際に身代金を払うかどうかについて、企業は難しい判断を迫られる。
政府や警察当局は、被害企業などに対して、身代金の支払いをしないよう要請している。身代金を払ってもデータが復号できる保証はなく、身代金が犯罪組織の資金源になり、さらなる攻撃を助長することになるからだ。
しかし、そもそも身代金を支払うことは違法ではなく、企業の中には、身代金を払いたいと考える向きもある。2020年にランサムウェアの被害に遭った京都府所在の飲食料品会社の社長は、300万円相当のビットコインを支払うよう要求されたが、支払わなかった。しかし、こう本音を漏らす。
「身代金を払うのも大変な出費だが、システムを入れ替えたり、1週間ほど通常業務ができなくなったことを考えると支払ったほうが安かったのではないかと思います」
システム入れ替え費用は3000万円以上かかったという。要求された身代金の10倍の負担だ。
システムが脆弱であるうえに疾病という究極のプライバシーを扱う医療機関が狙われるケースが多いことも知られているが、近年、ランサムウェア攻撃に襲われたある病院では、電子カルテなどが使えなくなり、診療が一時停止する事態になった。原因は、リモートワークで職場に接続する際に使うVPN(仮想プライベートネットワーク)の脆弱性が悪用されたことだった。現在、ランサムウェア攻撃の7割以上はVPNの脆弱性が原因となっている。
「JINGI(仁義)は大事」
同病院は事件当初から身代金は支払わないと断言していた一方、筆者が攻撃者であるロシア系犯罪集団に直撃取材を行なうと、病院側が数万ドルの身代金を支払っていたという反応だった。
ハッカー集団のうちの1人は、身代金の額について、病院側のディスカウントの要請に応じたとし、「もとの要求額から半額に割引した」と話した。
このハッカー集団の幹部は筆者に、「自分は中国に住んでいる」と主張。「OPSEC(オペレーションセキュリティ)を7歳の時に父から学んだから(ネットを通じて筆者と接触しても)素性はばれない」と嘯(うそぶ)き、「俺の正体を突き止めたら100万ドルやるよ」などと挑発した。さらに病院を攻撃したことについては詫び、「われわれは企業しか攻撃しない方針だが、(末端の)他のハッカーが勝手に攻撃にしたものについては知らない」とした。「日本のヤクザが好きだ」「JINGI(仁義)は大事だ」とも語った。
ランサムウェア攻撃グループは、ほとんどがロシア圏にいる。米財務省金融犯罪取締ネットワークによれば、ランサムウェア攻撃は76%がロシアとその周辺から起きている。攻撃者はグループ名で名乗り、少数で攻撃する組織や、企業のように攻撃のためのインフラを提供する幹部らが中心となり外部の協力者が多数関わっている組織もある。
今回のKADOKAWAを攻撃した犯行組織もロシア系だと見られている。この組織は2023年4月から活動しているのが確認されており、他のグループとほぼ協力することなく単独で攻撃を行なっている。これまではフィッシングメールなどを駆使してサイバー攻撃を行なう手口を使っていたと分析されている。
KADOKAWAに取材を申し込むと、NewsPicksの記事については「弊社からコメントすることはございません」と回答。「一日も早い復旧を目指して、当社グループ一丸となり、全力を尽くしてシステムおよび事業活動の正常化に向けて取り組んでまいります」とコメントした。
こうしたランサムウェア被害に遭わないために、企業などは何ができるのか。シンガポールと東京に拠点を置くサイバーセキュリティ企業「サイファーマ」のクマル・リテシュCEOは、「ネットワークを分割してセグメント化し、メールやリンクを扱う従業員を教育し、ログインやアクセスの際に多要素認証を適用すべきです」と話した。
一度感染すると、身代金を支払ったり、復旧のためにシステムを再構築するコストで、会社が一気に傾いてしまう可能性もある。警察庁のデータによると、ランサムウェア攻撃を受けた後の調査や復旧にかかる費用として1000万円以上かけている企業が46%に上るとしている。
そうした被害を防ぐためにも、被害者側の責任だけに目を向けるのではなく、被害企業などが情報共有しやすくなる環境づくりが大切になってくる。
【プロフィール】
山田敏弘(やまだ・としひろ)/1974年、滋賀県生まれ。国際ジャーナリスト。1999年米ネバダ大学ジャーナリズム学部卒業。講談社、ロイター通信社、ニューズウィーク日本版編集記者などを経て、米マサチューセッツ工科大学で国際情勢やサイバーセキュリティ、インテリジェンスの研究・取材活動にあたった。帰国後はジャーナリストとして活躍。近著に『プーチンと習近平 独裁者のサイバー戦争』(文春新書)。
※週刊ポスト2024年7月12日号