東欧セルビアの新興ハッカー集団の台頭「ドコモの顧客個人情報を盗んだ」？ 【サイバー空間の新たな犯罪者たち・前編】

ＮＴＴドコモ本社が入るビル＝２０２２年７月、東京都千代田区

　今年秋、東欧セルビアを拠点とする新興ハッカー集団「ＲａｎｓｏｍｅｄＶＣ（ランサムド・ブイシー）」が、企業のサイバー攻撃対策を請け負うセキュリティー関係者らの注目を集めた。８月に活動を始めてから１カ月しかたっていないのに、日本の大企業のソニーとＮＴＴドコモにサイバー攻撃を仕掛け、機密データや顧客の個人情報を入手したと「戦果」を誇示したからだ。
　主張通りなら、凄腕のハッカーが集結して、今後も大企業が次々と被害に遭うかもしれない―。そう考えて首領格の「リーダー」に通信アプリを使って取材を試みた。すると「日本人ハッカーの協力で入手した」というメッセージとともにドコモの顧客情報らしきデータの一部が送られてきた。（共同通信＝角亮太）

　▽ソニー、ドコモ…６０の企業の機密データを盗み出した

　ランサムドが日本で初めて注目されたのは１０月４日、ソニーが「何者かに不正アクセスを受けた」と明らかにしたことがきっかけだった。少なくとも国内の社内サーバー１台が被害を受けた。業務に大きな影響はなかった。誰がソニーを攻撃したのか。ソニーが攻撃を受けたことを明らかにした数日前、匿名性が高く、一般のブラウザではアクセスできないダークウェブに犯行声明が掲載された。サイトに明示されたハッカー犯罪集団は「ランサムド・ブイシー」。ソニーのほか、ＮＴＴドコモからも機密データや個人情報を盗んだと主張し、金銭を払わないと盗んだデータを公開すると脅していた。
　ハッカー集団のうち金銭を目的にサイバー攻撃を仕掛けるグループは、ダークウェブにサイトを設けることが多い。サイトには犯行声明のほか、盗んだデータが「本物」だと主張するためにデータの一部をサンプルとして掲載する。被害者が金銭支払いに応じないと、サイトを通じてデータを丸ごと公開したり第三者に売却したりする。

ソニーグループ本社＝２０２１年４月、東京都港区

　セキュリティー企業の三井物産セキュアディレクション（東京）の吉川孝志さんによると、ランサムドは元々、ハッカーが情報交換するダークウェブのフォーラム（掲示板）を運営していた。別のハッカーフォーラムから「フォーラムのつくりが似ている」と疑いをかけられてトラブルになり、今年８月、金銭目的にサイバー攻撃をするハッカー集団に衣替えしたばかりだった。
　金銭目的のハッカー集団の多くは身代金要求型コンピューターウイルス「ランサムウエア」を使って、企業のデータを盗んだ上で暗号化する。ハッカーは暗号化によって業務を続けられなくなった企業に連絡を取り、「データを元に戻してほしければ、金銭を支払え」と脅迫する。企業が金銭の支払いに応じなければ、データを公開すると脅す。ランサムドはランサムウエアを使うとされているが、攻撃先の企業が持つ機密データの暗号化はしない。

三井物産セキュアディレクションの吉川孝志さん

　ランサムドは個人情報を流出させた企業などに巨額の制裁金を科す欧州連合（ＥＵ）の「一般データ保護規則（ＧＤＰＲ）」を逆手に取り、金銭を支払えばサイバー攻撃による情報漏えいが表に出ず、制裁金を免れられると誘いかける。盗んだデータを暗号化しないのは、攻撃に遭った企業が普段と変わらず業務を続けられるようにし、外部から情報漏えいを疑われないようにしているためとみられる。
　ランサムドはサイトでソニーやドコモ、米信用調査会社トランスユニオンなど約６０の企業のデータを盗んだと主張しているが、吉川さんは事実かどうか疑わしいものも少なくないと分析していた。ソニーの犯行声明を出した後、別のハッカーが「データは自分が盗んだものだ。自分が公開したデータのサンプルを、あたかもランサムドが盗んだように見せかけている」と告発していた。ただ、ソニーはランサムドによるものかどうかはともかく、攻撃を受けたことを認めていた。
　しかし、ランサムドが同じように犯行声明を出したドコモに取材すると、「２４時間体制でサイバー攻撃を監視しており、被害は受けていない」とランサムドの主張を強く否定した。吉川さんのようなセキュリティーの専門家や多くのハッカーからは「ランサムドがドコモに攻撃したというのはうそではないのか」という見方が出ていた。

東欧セルビアの新興ハッカー「ＲａｎｓｏｍｅｄＶＣ（ランサムド・ブイシー）」がダークウェブのサイトで、ＮＴＴドコモやソニーへのサイバー攻撃に成功したと主張する犯行声明の画面

　▽「メンバーは日本人含む９８人、６億円を奪った」と主張

　ハッカー集団の目的は主に三つに分けられる。軍や情報機関などと関連を持ち、高度な技術で政府や企業の機密情報を盗む国家支援型。反戦や自然保護など、政治的な主張を広げるため活動するハクティビスト。そして、身代金要求型コンピューターウイルス「ランサムウエア」などを使い、企業を脅迫する金銭目的のハッカー集団だ。
　近年猛威を振るうのはランサムウエアを使うハッカー集団で、活発に活動しているのは７０程度ある。ただハッカー同士の金銭トラブルや捜査機関の捜査などにより、ほとんどの集団は２、３年程度で解散し、別のグループとして出直すことになる。
　ランサムウエアを使う最大の集団「ロックビット」は、１カ月に１００以上の犯行声明を出すこともある。ランサムドは活動開始からわずか２カ月で約６０の犯行声明を出し、ハッカー集団の中で頭角を現していた。
　ランサムドの実態を探ろうと、所属するハッカーに取材してみようと思った。秘匿性の高い通信アプリ、テレグラムを通じてランサムドに「取材をしたい」と連絡すると、テレグラムからメッセージが返ってきた。ハッカーはセルビア人の「Ｍｏｃｉ　Ｂｏｓｉ」で、リーダー兼オーナーだと名乗った。「ランサムドのメンバーは日本人ハッカーを含む９８人。日本人ハッカーの中には暗号資産（仮想通貨）の取引に使われるブロックチェーン（分散型台帳）技術の研究者として有名な人物がいる。組織の構成はリーダーの下に幹部がおり、『モデレーター（進行役）』や『オペレーター（操作員）』という肩書を持っている。幹部の下で実際にサイバー攻撃を実行する人物は『アフィリエイター（提携者）』と呼んでいる。サイトでは約６０の企業のデータを盗んだと掲載しているが、実際は約１２０の企業や団体を攻撃して４００万ドル（約６億円）以上を奪った」ということだった。

東欧セルビアの新興ハッカー「ＲａｎｓｏｍｅｄＶＣ（ランサムド・ブイシー）」のダークウェブのサイト画面

　ソニーとドコモへの攻撃について尋ねると「日本人ハッカーの協力があった」と説明した。ソニーからはスマートフォン１台分の容量に相当する、２４０ギガバイトの設計データを盗んだという。「ソニーは金銭支払いの要求に応じなかったので、データを誰かに売ろうと考えている」とメッセージをよこした。
　ドコモからは顧客情報のデータベースを盗み、約１００万ドル（約１億５千万円）を要求したと説明した。ドコモから「３０万ドルなら支払える」との回答があった。要求額を９０万ドルに下げたが、ドコモは「４０万ドルが限界だ」と回答し、裏取引の交渉は決裂したのだという。もちろん、ドコモは攻撃で被害を受けたこと自体を否定しており、ランサムドとの交渉はしていないとの立場だ。「Ｍｏｃｉ　Ｂｏｓｉ」は「ドコモの情報システムへの侵入方法を第三者に売った。１０ビットコイン（約５千万円）以上で売れた」ともコメントした。
　ドコモと新興ハッカー集団との裏取引の交渉はあったのだろうか。真相を明らかにするためさらに取材を続けた。（後編へ続く）

「近いうちに日本に行く」と軽口をたたいたセルビアのハッカー集団リーダーはサイバー空間の闇に消えた　【サイバー空間の新たな犯罪者たち・後編】